Merkezi olmayan finans sektörü, DeFi ürünlerinde kilitli olan varlıkların toplam değeri Temmuz’da ikiye katlanarak 4 milyar doların üzerine çıktığı için benzeri görülmemiş bir popülerlik kazanmaya devam ediyor. yaklaşan 5 milyar dolarlık işaret.
Aynı zamanda, kullanıcılar ve geliştiriciler arasında bu tür uygulamalara yönelik artan talep, fonlara doğrudan erişimin cazibesi göz önüne alındığında, onu kötü aktörler için bir hedef haline getiriyor. Son birkaç ayda, bilgisayar korsanları DeFi projelerinden 27 milyon dolardan fazla para çaldı ve yakın gelecekte daha fazla saldırının gelmesi bekleniyor. Durum buysa, DeFi sektörü güvenlik için güçlü bir şekilde Ethereum’a güveniyor mu ve ETH 2.0 lansmanı bu alanda daha fazla iyileştirme getirecek mi??
DeFi uygulamaları, bilgisayar korsanları için yeni kripto borsalarıdır
2018–2019’da kripto borsaları hacker saldırılarının bir numaralı hedefi olurken, 2020’de radarda olan merkezi olmayan finans piyasası. Bu, büyük ölçüde platformların akıllı sözleşmelerindeki güvenlik açıkları ve teknik olarak kusurlu güvenlik mekanizmalarıyla mümkün kılınmıştır. Aynı zamanda, saldırı tarihinin gösterdiği gibi, saldırganlar saldırıları gerçekleştirmek için yalnızca güvenlik açıklarını değil, aynı zamanda blok zincirinin çeşitli meşru yeteneklerini de kullanır..
Hackerlar Ağustos başında Opyn’e, ironik bir şekilde DeFi koruması ile uğraştığını iddia eden bir protokol olan saldırdı. Projenin yerel belirtecinin kötüye kullanılması nedeniyle yaklaşık 371.000 ABD doları çalındı, bu sayede Ethereum satış seçeneklerine çift harcama saldırısı uygulandı ve kullanıcıların fonlarına erişim sağlandı.
Daha önce, akıllı sözleşme kodundaki bir güvenlik açığı, Lendf.me ademi merkeziyetçi borç verme protokolünden ve merkezi olmayan kripto borsası Uniswap’ten 25 milyon doların çalındığı başka bir DeFi projesinin hacklenmesine yol açtı. Her iki geliştirici grubu da kendi eklentilerini ERC-777 protokolünün üzerine kurarak akıllı sözleşmeleri yeniden giriş saldırılarına karşı savunmasız hale getirdi. Bu tür bir saldırı sırasında, bilgisayar korsanları, orijinal işlemleri onaylanana veya reddedilene kadar tekrar tekrar para çekerler..
28 Haziran’da yine bir kod güvenlik açığı nedeniyle başka bir saldırı gerçekleşti. Bilgisayar korsanları, her para transferinde işlem tutarının% 1’ini yok eden token deflasyon mekanizmasının bir istismarıyla Dengeleyici platformundan 500.000 $ ‘ın üzerinde ETH ve diğer altcoinleri çaldı.
Ethereum suçlu mu?
Açıkça, DeFi projelerinin Aşil topuğu, akıllı sözleşme kodlarındaki hatalar ve güvenlik açıklarıdır, ancak bunun için neyi veya tam olarak kimi suçlayacak? Uygulamalarını başlatmadan önce kodu düzgün bir şekilde test etmeyen veya denetlemeyen DeFi geliştiricileri mi yoksa hata Ethereum’un mimarisinde mi yatıyor, yani platformlara çok az bağlı?
Bir yandan, DeFi borç verme platformu Kava Labs’ın CEO’su Brian Kerr’in Cointelegraph’a daha önce söylediği gibi, Ethereum blok zincirinin mimarisi DeFi sektörünün güvenlik taleplerine cevap veremiyor çünkü Solidity programlama dilinde olası hataları test etmek neredeyse imkansız..
Bununla birlikte, çoğu DeFi platformu Ethereum blockchain çerçevesi üzerine inşa edilmiştir ve bu nedenle, özellikle bu deneylerin sonucu ürünün son sürümünün lansmanından önce kapsamlı bir şekilde denetlenmezse, potansiyel olarak bilgisayar korsanları için kapılar açıyorsa, orijinal kaynak kodu ile deneyler yapmaktadır..
ConsenSys Diligence’de bir güvenlik mühendisi ve denetçi olan Shayan Eskandari, Cointelegraph’a DeFi saldırılarının çoğunun, platform lansmanından kısa bir süre önce geliştiriciler tarafından yapılan değişikliklerden önce geldiğini söyledi. Örneğin, ERC-20 standart bir şekilde uygulanmadı veya bazı yeni simge tasarımları, ERC-20 belirtecinin davranışını değiştiren ve öngörülemeyen sorunlara neden olan işlevler ekledi. Eskandari’ye göre, bu tür değişiklikler Dengeleyici havuzu saldırılarına ve Lendf.me hacklenmesine yol açtı..
Bu, bazı durumlarda belirli platformlarda çalışan ekiplerin suçlanacağını gösteriyor. Cointelegraph ile yaptığı bir sohbette, tam yığın DeFi toplayıcı Plutus DeFi’nin CEO’su Arnie Hill, çoğu DeFi geliştiricisinin ürün geliştirmenin erken aşamasında oldukları için güvenliğe yeterince dikkat etmediklerini belirtti: “Bugün geliştiriciler para ödüyor akıllı sözleşmelerin güvenliğinden ziyade, blockchain üzerinde borç verme hizmetlerinin nasıl oluşturulacağına odaklanarak teknik tarafa ve sermayeye daha fazla ilgi. “
Ek olarak, DeFi ürünlerinin karmaşıklığı onlarla acımasız bir şaka yapıyor, göre Digital Currency Group yatırımcısı Larry Sukernik’e: “Çalışması gereken büyük beyinlere sahip insanlar elde edersiniz. Ve işe koyulduklarında, sonuç genellikle karmaşık, zekice ama büyük ölçüde kullanılamaz bir üründür. “
Litecoin’in (LTC) yaratıcısı Charlie Lee, daha önce ademi merkeziyetin her şey için suçlu olduğunu iddia etmişti. Ekip bir saldırı durumunda kontrol edemediğinden veya geçici olarak devre dışı bırakamadığı için, Opyn seçenekleri protokolünün hacklenmesinin nedeni aslında ademi merkeziyetçilikti..
Bununla birlikte, sektörün genç olduğu göz önüne alındığında, bilgisayar korsanlarının varlığı doğal bir durumdur. Bununla birlikte, DeFi sektörü geliştikçe, geliştiricileri artan güvenlik risklerinin fazlasıyla farkında olmalı ve Hill’e göre bunları azaltmak için çalışmalıdır:
“Pazarı ölçeklendirmek, daha ciddi koruma mekanizmalarının kullanılmasını ve düzenleyiciler ve denetçilerle işbirliğini gerektiriyor. Günün sonunda, bu artık sadece bir DApp ağı değil, gelişiminin erken aşamasında olan ve dolayısıyla dijital ortamda olduğu gibi hackler kaçınılmaz olan multi milyar dolarlık bir finansal piyasadır. bankacılık endüstrisi birkaç yıl önce. ”
Sona göre bildiri Araştırma şirketi Dgen tarafından açık kaynaklı bir DeFi protokolü Aave ile birlikte yayınlanan DeFi projeleri hackleme hedefi haline geldiğinden beri geliştiriciler sandbox’lar ve anlaşmazlık çözümü için açık çerçeveler üzerinde çalışmaya başladı. Analistler ayrıca, ölçeklendirme şu anda DeFi geliştiricileri için en yüksek önceliğe sahip olduğu sürece, 2016’daki DAO olayına benzer büyük saldırıların büyük olasılıkla tekrar yaşanacağını belirtti..
Merkezi olmayan finans projelerinin arkasındaki olası bir diğer sorun, varlık fiyatları gibi kritik verileri sağlamak için veri oracle’larına güvenmeleridir. İsviçre açık kaynaklı bir DeFi oracle platformu olan DIA’nın kurucu ortağı Paul Claudius, Cointelegraph’a şunları söyledi:
“Şu anda çoğu DeFi projesi şeffaf, açık kaynaklı ve güvenilir bir fiyatlandırma veri çözümünden yoksundur. Birçoğu oracle’ların fiyatlandırma verileri için kullandığı metodolojileri bile paylaşmıyor. Kötü aktörler güvenilmez veri kaynaklarıyla hem teknolojik hem de metodolojik güvenlik açıklarından yararlanabileceğinden, bu önemli riskler yaratır. “
Denetim, durum tespiti ve sigorta
Öyleyse, kendi ve kullanıcı fonları için yüksek düzeyde güvenliği başarıyla sürdüren birçok ürün olduğu göz önüne alındığında, güvenlik risklerini azaltmak için DeFi ekiplerinin yapabileceği herhangi bir şey var mı??
Aave’de entegrasyon lideri olan Marc Zeller, protokollerde büyük saldırılardan kaçınmaya yardımcı olmak için bir DeFi platformuna yeni bir belirteç eklemeden önce durum tespiti prosedürlerinin yürütülmesinin önemini vurguladı. Ayrıca, merkezi olmayan finans ile ilgilenen projelerin, kullanıcı fonlarını daha fazla korumak için sigorta şirketlerinin hizmetlerini kullanabileceğini, ancak bu her zaman yeterli olmadıklarını da belirtti..
Sentetik varlık platformu Synthetix’in kurucusu Kain Warwick, saldırılarla mücadelede sigortanın rolü hakkında konuşan, dedim DeFi sigortasının çok sınırlı olduğunu ekleyerek: “DeFi’nin hala önemli bir kuyruk riski vardır, bu nedenle sigortanın kısa vadede çok maliyetli kalması muhtemeldir, ancak protokoller olgunlaştıkça maliyetler düşmelidir […] daha basit ve daha kullanışlı sigorta ortaya çıkacak. “
Saldırı zaten olmuşsa sigortaya sahip olmak iyidir, ancak görev bunu önlemekse, kod kusurları bilgisayar korsanları tarafından kullanılmadan önce ağdaki güvenlik açıklarını tespit etmek ve düzeltmek için DeFi projelerinin ihtiyaç duyduğu şey şüpheli işlemlerin denetlenmesi ve izlenmesidir. Analistler, kripto borsalarının, saldırıya uğramış platformlardan gelmiş olabilecek kripto para birimlerinin izlenmesinde ve kilitlenmesinde önemli bir rol oynadığına dikkat çekiyor..
İlgili: DeFi Hack: Merkezi Olmayan Finans Ne Olmalı ve Ne Olmamalıdır??
Sektör ölçeklendikçe, DeFi geliştiricilerinin düzenleyicilerle işbirliği yapması ve bir saldırı meydana gelirse anlaşmazlık çözümüne ve tahkime olanak tanıyan hem korumalı alanlar hem de açık çerçeveler üzerinde çalışması giderek daha önemli hale geliyor. Hill’e göre:
“Pazarı ölçeklendirmek, daha ciddi koruma mekanizmalarının kullanılmasını ve düzenleyiciler ve denetçilerle işbirliğini gerektiriyor. Günün sonunda, bu artık yalnızca bir DApp ağı değil, gelişiminin erken aşamasında olan multi-milyar dolarlık bir finans piyasası. “
ETH 2.0 daha fazla güvenlik getirecek mi?
Bazıları ölçeklenebilirliğin yanı sıra ağ yükseltmelerinin DeFi’ye güvenlik getireceğine inanırken, diğerleri Ethereum’un 2.0 kanıtı kanıtı algoritmasına geçişinin DeFi sektörünü daha da büyük bir tehlikeye atacağını söylüyor. Dragonfly Capital yatırımcısı Haseeb Qureshi analist Tarun Chitra tarafından yapılan araştırmaya göre geldi DeFi protokollerinin PoS algoritmasına dayalı ağ güvenlik mekanizmasına karşı çalıştığı sonucuna varıldı. Sorun, DeFi kredisinde kilitli olan fonların stake etmeye katılmaması ve bu nedenle bir teminat olmasıdır..
Moloch Dao analistleri onaylanmış ETH 2.0’a geçiş, DeFi uygulamaları için yeni saldırı vektörleri açabilir. Bununla birlikte, olumlu bir tarafı var – ETH 2.0’a yapılan saldırıları ölçeklendirmek, ETH 1.0’daki saldırılardan daha kolaydır..
İlgili: İyi Bir Şekilde Kullanın: Ethereum, Kriterleri Belirlemek İçin Ciddi Sayıları Yükseltiyor
Consensys analistleri Tanner Hoban ve Tom Borgers’a göre, kullanıma sunulmadan önce DeFi endüstrisi, özellikle Ethereum 2.0’a geçişin ilk aşamalarında birçok yeni saldırı ile karşı karşıya kalacak. Bunun nedeni, geçişin başlangıcında, doğrulayıcıların iş kanıtı zinciri ile risk kanıtı zinciri tamamen birleştirilene kadar ETH’lerini bloke etmeleri gerektiğidir. Bu likiditeyi azaltacak ve çalışma yazarlarına göre merkezileşmeye yol açabilir.
Dolayısıyla, DeFi ürünlerinin yeniden büyük saldırılarla karşılaşması muhtemeldir, ancak sigorta ve denetim araçlarının geliştirilmesinin yanı sıra küresel düzenleyiciler tarafından pazara girilmesiyle, sonunda daha güvenli hale gelecektir. Ethereum 2.0, merheme kendi sineğini ekleyebilir, ancak yeni modelin yavaş ve kademeli olarak piyasaya sürülmesi ve yeterli test ile risklerin en aza indirilmesi muhtemeldir..