Поскольку хаки DeFi растут, этот стартап хочет радикально пересмотреть смарт-контракты, чтобы предотвратить их

0

Содержание

За последние пару лет сотни новых приложений и протоколов децентрализованного финансирования хлынули в сеть Ethereum и другие блокчейны. В ноябре 2021 года общая стоимость всех приложений DeFi достигла ошеломляющих 290 миллиардов долларов.

DeFi теоретически призван демократизировать доступ к финансам, позволяя людям со всего мира, любого происхождения, нет неважно, кто они, участвовать. Здесь нет финансовых или географических ограничений или централизованных посредников — все децентрализовано, не требует доверия и одноранговое.

Эта концепция оказалась популярной, поскольку DeFi растет быстрее, чем кто-либо мог себе представить. Однако его рост был омрачен многочисленными критическими угрозами безопасности, из-за которых он кажется очень рискованным предприятием для тех, кто не очень хорошо осведомлен о том, как работает криптовалюта.

Хотя 2021 год был большим годом для DeFi, возможно, он был еще более важным для хакеров, согласно недавнему отчету Chainalaysis что в том году они украли криптовалюту на общую сумму 3,2 миллиарда долларов. Этот год, вероятно, будет столь же прибыльным для хакеров. Согласно последнему отчету CertiK сообщают, DeFi и Web3 вместе потеряли более 2 миллиардов долларов из-за хакеров за первые шесть месяцев год.

Chainaанализ сообщает, что хакеры в сфере криптографии отошли от кошельков и других целей и сегодня почти исключительно нацелены на протоколы DeFi. За первые три месяца 2022 года почти 97% всех средств, украденных хакерами, поступило от DeFi, по сравнению с 72% в 2021 году и всего 30% в 2020 году. Беглый взгляд на некоторые из крупнейших взломов этого года объясняет, почему DeFi стать такой популярной целью для злоумышленников. Суммы, которые они могут украсть, огромны. Самым дорогим взломом в этом году стал Нарушение безопасности валидатора Ronin. 23 марта лицо или лица, ответственные за атаку, смогли скомпрометировать узлы валидации Ronin и Axie DAO компании Sky NMavis, взломать закрытые ключи и осуществить незаконный вывод средств. Всего за две транзакции они украли невероятные 173 600 ETH и 25,5 миллионов долларов США на общую сумму 615,5 миллионов долларов.

К сожалению, взлом Ronin не был просто изолированным событием. В феврале хакеры воспользовались уязвимостью безопасности при проверке подписи Wormhole, что позволило им скрыться с 120 000 WETH на Солане, суммой, которая на тот момент стоила 326 миллионов долларов. время нападения. Аналогично, в апреле протокол Beanstalk пал жертвой однодневной задержки в контракте с предложением по управлению $BEAN, оформить флэш-кредит. Злоумышленнику удалось украсть 70% всех семян, в общей сложности ему сошло с рук 181 миллион долларов.

Обнаружение уязвимостей смарт-контрактов

Подавляющее большинство взломов DeFi происходит из-за уязвимостей в смарт-контрактах, которые поддерживают протоколы. Смарт-контракты — это самоисполняющиеся фрагменты кода, которые автоматически обрабатывают транзакции при выполнении определенных условий. Они являются одним из основных элементов DeFi, поскольку делают излишними требования к доверенному посреднику.

Хорошая новость заключается в том, что сообщество осознает, что смарт-контракты являются явным недостатком безопасности DeFi, и предпринимает шаги для их устранения. . Самые надежные на сегодняшний день протоколы DeFi обязательно выполняют комплексную аудит смарт-контрактов для выявления наличия каких-либо уязвимостей. Аудиты проводятся надежными фирмами, такими как CertiK и Hacken, и оценивают записанные транзакции в реестре блокчейна, чтобы попытаться выявить любые ошибки.

Другие способы выявления уязвимостей включают тесты на проникновение командами экспертов по безопасности, которые пытаются взломать протоколы DeFi, чтобы сообщить разработчикам, как они это сделали, позволяя им закрыть любые обнаруженные лазейки. Кроме того, протоколы также могут предлагать «награды за ошибки», где они, по сути, обеспечивают краудсорсинг безопасности. Десятки хакеров «в белой шляпе» соревнуются за денежный приз за выявление уязвимостей в протоколе. Bug bounty может быть особенно полезным, поскольку стимулирует участников действовать как настоящие киберпреступники, то есть они, скорее всего, попытаются взломать протокол, используя аналогичные методы, как это делают настоящие плохие парни. Идея состоит в том, что хорошие парни обнаружат любые очевидные уязвимости до того, как они будут раскрыты в реальном мире.

Аудит кода смарт-контрактов и вознаграждение за ошибки могут помочь защитить протоколы DeFi от распространенных взломов, связанных с необработанными исключениями и зависимостью порядка транзакций. Однако проверки, к сожалению, не являются безупречными: исследование Chainalaysis показало, что 30% эксплойтов в этом году произошли на платформах, которые проверялись в течение последних 12 месяцев. Таким образом, хотя аудит кода и вознаграждение за обнаружение ошибок могут быть полезны, они не дают никаких гарантий. Таким образом, протоколы DeFi, которые управляют миллиардами долларов средств пользователей, должны использовать более надежный подход к безопасности.

Изобретение смарт-контрактов заново

< p>Одним из самых интересных решений является язык программирования Scrypto, разработанный Radix — протокол блокчейна уровня 1, созданный специально для ДеФи.

Scryptoязык основан на популярный язык программирования Rust и сохраняет большинство его функций. Однако он, в частности, добавляет ряд конкретных функций на основе Radix Engine. Его можно рассматривать как набор библиотек и расширений для Rust, который предоставляет функции, ориентированные на активы, позволяя логике в стиле Rust взаимодействовать с активами как естественным, первоклассным гражданином.

Наиболее важным отличием Scrypto является то, что он эффективно устраняет смарт-контракты. Вместо смарт-контрактов он использует чертежи и компоненты для обработки транзакций. Blueprints — это скомпилированный исходный код, который хранится в блокчейне, где его может использовать кто угодно. Их роль заключается в предоставлении «функций конструктора» для транзакций DeFi с гибкими параметрами, экземпляры которых могут создавать другие. Как правило, они весьма специализированы с точки зрения функциональности, хотя могут поддерживать множество различных вариантов использования в зависимости от того, как именно они создаются. Иногда чертежи могут работать с другими чертежами, развернутыми вместе как «пакет».

Чтобы активировать схему, необходимо создать ее экземпляр, вызвав одну из функций-конструкторов, чтобы получить адрес вновь созданного проекта. экземпляр, известный как «компонент». Компоненты используются для управления состоянием и могут собирать, хранить и распределять ресурсы в соответствии с логикой, связанной с проектом, который их создал. Другими словами, компоненты в Scrypto напоминают смарт-контракты, однако они основаны на логике, определенной в проекте, который их породил.

Уникальная архитектура Scrypto позволяет выполнять транзакции совершенно иначе, чем обычные смарт-контракты, написанные на Solidity или другом языке. Вместо отправки номера или ссылки на некоторые токены Radix Engine передает право собственности на токены от вызывающей стороны компоненту. Как только этот компонент получает корзину ресурсов или несколько корзин, он может взять эти ресурсы и поместить их в свое хранилище или в другую корзину. Затем механизм Radix гарантирует, что вызывающая сторона больше не сможет получить доступ к корзине или хранилищу.

Конечным результатом является то, что децентрализованные приложения, созданные на основе Radix, имеют гораздо более простой и безопасный способ проведения транзакций. Чтобы лучше понять, как это работает, Radix предлагает нам пример автомата с жевательной резинкой который принимает токены в долларах США в обмен на токен, хранящийся в его хранилище.

В этом примере пользователь передает корзину в размере 0,25 долларов США методу InsertCoins компонента MyMachine. Логика проекта видит, что была уплачена правильная цена, добавляет эти жетоны в хранилище, затем берет 1 жевательную резинку из хранилища жевательной резинки и передает ее обратно вызывающему абоненту. Он может даже вернуть некоторую сдачу, если вызывающий абонент перевел слишком много долларов США.

С смарт-контрактами Ethereum на основе Solidity все гораздо сложнее и рискованнее. На той же машине пользователь вызывает смарт-контракт, чтобы дать машине разрешение на вывод средств из кошелька от его имени. Они сообщат машине, что хотят ввести 0,25 доллара США. Затем машина вызывала контракт в долларах США для вывода средств, а затем вызывала смарт-контракт жевательной резинки, чтобы отправить жевательную резинку пользователю. Наконец, он, вероятно, также обновит внутренний кеш количества оставшихся жевательных конфет для проверки на наличие ошибок. Каждый из этих процессов использует смарт-контракт, и поэтому каждый из них подвергается риску взлома из-за уязвимости смарт-контракта.

Это простой пример. С DeFi транзакции могут быть во много раз сложнее, а это означает, что они подвергаются многократно большему риску. Все, что нужно — это одна уязвимость где-нибудь, в любом из многочисленных смарт-контрактов, участвующих в транзакции, чтобы злоумышленнику удалось осуществить атаку.

Заключение

По мере роста DeFi и увеличения его общей заблокированной стоимости риск эксплуатации будет только возрастать. Если есть один вывод, который мы можем сделать из огромного количества криптовалюты, украденной хакерами DeFi, так это то, что потребность в безопасности смарт-контрактов никогда не была такой высокой. Хотя аудит кода и вознаграждение за обнаружение ошибок могут помочь обнаружить наиболее очевидные уязвимости в DeFi, очевидно, что отрасль может получить неизмеримо большую выгоду от радикального обновления, основанного на инфраструктуре, предназначенной для минимизации количества потенциальных эксплойтов с самого начала.

Отказ от ответственности: эта статья предназначена только для информационных целей. Он не предлагается и не предназначен для использования в качестве юридических, налоговых, инвестиционных, финансовых или других рекомендаций

Отказ от ответственности за инвестиции

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *