Pada masa kini, pasaran blockchain secara keseluruhannya masih di peringkat awal, dan kewangan terdesentralisasi (DeFi) pasaran adalah bahagian yang paling menjanjikan. Menurut data DefiLlama, pada tahun 2021, pasaran DeFi mempunyai kira-kira $200 bilion kecairan yang dikunci dalam kontrak pintar. Jika kita melihat modal ini sebagai pelaburan awal, pasaran ini kelihatan seperti usaha niaga yang sangat menjanjikan. Tidak terlalu banyak syarikat global boleh berbangga dengan permodalan sedemikian. Tetapi mana-mana pasaran muda mempunyai masalah tumbuh gigi. Dengan DeFi, isu utama ialah kekurangan pemaju blockchain yang berkelayakan.
Industri ini sangat muda dan mempunyai pangkalan pengguna yang agak kecil. Kebanyakan orang pernah mendengar tentang DeFi tanpa mengetahui apa itu. Tetapi apabila ia berlaku dengan setiap usaha baru yang menjanjikan, ia dengan cepat mewujudkan banyak minat spekulatif. Malangnya, penyediaan kakitangan mengambil masa yang lebih lama, terutamanya apabila ia melibatkan sfera berpengetahuan seperti blockchain dan pembangunan kontrak pintar. Ini bermakna beberapa pasukan projek perlu berkompromi dan mengupah kakitangan yang kurang berpengalaman.
Masalah ini tidak dapat dielakkan mewujudkan risiko kelemahan keselamatan yang semakin meningkat dalam kod projek-projek ini. Dan kemudian kita perlu menangani akibatnya dalam kehilangan modal pengguna. Untuk pemahaman ringkas tentang betapa besar masalah ini, saya boleh katakan bahawa kira-kira 10% daripada jumlah kecairan DeFi yang terkunci telah dicuri oleh penggodam. Seharusnya tidak mengejutkan sesiapa pun bahawa orang awam arus perdana lebih suka menjauhkan diri daripada sistem kewangan yang mendatangkan bahaya kepada dana mereka.
Berkaitan: Bagaimana protokol DeFi diretas?
Bagaimanakah eksploitasi DeFi telah berubah baru-baru ini?
Serangan terhadap DeFi telah lama tertumpu pada serangan masuk semula. Kita boleh ingat yang terkenal Penggodaman DAO pada tahun 2016 yang mengakibatkan kerugian $150 juta dalam modal pelabur dan membawa kepada garpu keras Ethereum. Sejak itu, kelemahan ini telah dieksploitasi berkali-kali dalam kontrak pintar yang berbeza.
Fungsi panggil balik digunakan secara aktif oleh protokol pinjaman: Ia membenarkan kontrak pintar menyemak baki cagaran pengguna sebelum memberikan pinjaman. Semua proses ini berlaku dalam satu transaksi, yang telah memberikan penggodam jalan penyelesaian untuk mencuri wang daripada kontrak pintar tersebut. Apabila anda menghantar permintaan untuk meminjam dana, fungsi panggil balik mula-mula menyemak baki cagaran, kemudian memberikan pinjaman jika cagaran itu mencukupi dan kemudian menukar baki cagaran pengguna di dalam kontrak pintar.
Untuk menipu kontrak pintar, penggodam mengembalikan panggilan ke fungsi panggil balik untuk memulakan proses ini dari awal. Memandangkan urus niaga belum dimuktamadkan pada blockchain, fungsi tersebut memberikan pinjaman lain untuk baki cagaran yang sama. Walaupun penyelesaian kepada masalah ini sudah cukup lama, banyak projek masih menjadi mangsanya.
Kadangkala, pasukan projek yang mempunyai sedikit kemahiran dalam menulis kontrak pintar memutuskan untuk meminjam pangkalan kod projek DeFi sumber terbuka lain untuk menggunakan kontrak pintar mereka sendiri. Mereka biasanya berbuat demikian dengan projek bereputasi yang telah diaudit dan mempunyai pangkalan pengguna yang besar dan telah terbukti dibina dengan selamat. Tetapi mereka mungkin memutuskan untuk membuat pengubahsuaian kecil pada kod yang dipinjam untuk menambah fungsi yang mereka mahu ada dalam kontrak pintar mereka, tanpa mengubah kod asal. Ini boleh merosakkan logik kontrak pintar, yang sering tidak disedari oleh pemaju.
Apakah ini membenarkan penggodam mencuri sekitar $19 juta daripada Cream Finance pada Ogos 2021. Pasukan Cream Finance meminjam kod daripada protokol DeFi yang berbeza dan menambahkan token panggil balik dalam kontrak pintar mereka. Walaupun anda boleh menghalang serangan kemasukan semula dengan melaksanakan corak "semakan, kesan, interaksi" yang mengutamakan perubahan baki berbanding pengeluaran dana, sesetengah pasukan masih gagal melindungi platform mereka daripada eksploitasi ini.
Serangan pinjaman kilat membolehkan penggodam mencuri dana secara berbeza dan telah berkembang semakin popular sejak ledakan DeFi pada tahun 2020. Idea utama serangan pinjaman kilat ialah anda tidak perlu mempunyai cagaran untuk meminjam dana daripada protokol kerana pariti kewangan masih terjamin oleh fakta bahawa pinjaman itu diambil dan dikembalikan dalam satu transaksi. Dan ia tidak akan berlaku jika anda gagal memulangkan pinjaman dengan faedah dalam satu transaksi. Tetapi penyerang telah dapat melakukan serangan pinjaman kilat yang berjaya pada banyak protokol.
Berkaitan: Diperlukan: Projek pendidikan besar-besaran untuk memerangi penggodaman dan penipuan
Dalam melakukannya, mereka menggunakan berbilang protokol untuk meminjam dan menyeret kecairan sehingga tindakan terakhir di mana mereka menguatkan harga token melalui ramalan atau kumpulan kecairan dan menggunakannya untuk menipu pam-dan-buang dan hilang dengan kecairan dalam tatasusunan beberapa mata wang kripto yang berbeza utama seperti Ether (ETH), Bitcoin Terbungkus (wBTC) dan lain-lain. Beberapa serangan pinjaman kilat yang terkenal termasuk Serangan Pancake Bunny, di mana protokol kehilangan $200 juta, dan satu lagi serangan Cream Finance, di mana lebih $100 juta telah dicuri.
Bagaimana untuk mempertahankan terhadap eksploitasi DeFi?
Untuk membina protokol DeFi yang selamat, idealnya, anda hanya perlu mempercayai pembangun blockchain yang berpengalaman. Mereka harus mempunyai ketua pasukan profesional yang mempunyai kemahiran dalam membina aplikasi terdesentralisasi. Ia juga bijak untuk diingat untuk menggunakan perpustakaan kod selamat untuk pembangunan. Kadangkala, perpustakaan yang kurang terkini boleh menjadi pilihan paling selamat daripada perpustakaan yang mempunyai asas kod terbaharu.
Ujian adalah satu lagi perkara penting semua projek DeFi yang serius mesti dilakukan. Sebagai Ketua Pegawai Eksekutif syarikat audit kontrak pintar, saya sentiasa cuba menutup 100% kod pelanggan kami dan menekankan kepentingan perlindungan terdesentralisasi bagi kunci persendirian yang digunakan untuk memanggil fungsi kontrak pintar dengan akses terhad. Adalah lebih baik untuk menggunakan penyahpusatan kunci awam melalui pelbagai tandatangan yang menghalang satu entiti daripada mempunyai kawalan penuh ke atas kontrak.
Pada akhirnya, pendidikan adalah salah satu kunci yang akan membolehkan sistem kewangan berasaskan blockchain menjadi lebih selamat dan boleh dipercayai. Dan pendidikan harus menjadi salah satu kebimbangan utama mereka yang mencari pekerjaan di DeFi kerana ia boleh menawarkan ganjaran yang menyelerakan kepada semua yang boleh membuat sumbangan yang berdaya maju.
Artikel ini tidak mengandungi nasihat atau cadangan pelaburan. Setiap langkah pelaburan dan perdagangan melibatkan risiko, dan pembaca harus melakukan penyelidikan sendiri ketika membuat keputusan. Pandangan, pemikiran dan pendapat yang dinyatakan di sini adalah pengarang sahaja dan tidak semestinya mencerminkan atau mewakili pandangan dan pendapat Cointelegraph. Dmitry Mishunin ialah pengasas dan CEO syarikat keselamatan dan analitik DeFi HashEx dan mempunyai kepakaran lama dalam bidang keselamatan blockchain. Beliau telah menumpukan banyak masa untuk aktiviti saintifik, seperti penyelidikan ke dalam sistem IT, rantaian blok, dan kelemahan dalam DeFi. Di bawah pengurusan Dmitry, HashEx telah menjadi salah satu peneraju dalam bidang audit kontrak pintar. Sumber: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi