Trend terkini dalam serangan penggodam dan cara menanganinya

Memandangkan sektor DeFi terus menarik wang dan pengguna, pelakon jahat dari seluruh dunia terus melihatnya sebagai sasaran menarik yang sudah matang untuk dipilih dan kurang dilindungi.

Sejak beberapa bulan lalu, saya telah menjejaki beberapa eksploitasi protokol DeFi yang paling ketara, dan sekurang-kurangnya tujuh daripadanya nampaknya disebabkan oleh kelemahan kontrak pintar sahaja.

Sebagai contoh, penggodam memukul dan merompak Wormhole, mencuri lebih $300 juta, Qubit Finance ($80 juta), Meter ($4.4 juta), Deus ($3 juta), TreasureDAO (lebih 100 NFT), dan terakhir, Agave dan Hundred Finance yang, bersama-sama , kehilangan $11 juta secara keseluruhan. Kesemua serangan ini mengakibatkan kecurian sejumlah wang yang agak besar, menyebabkan kerosakan besar kepada projek.

Kebanyakan protokol yang disasarkan telah menyaksikan penurunan nilai mata wang kripto mereka, ketidakpercayaan oleh pengguna, kritikan mengenai keselamatan DeFi dan kontrak pintar, dan akibat negatif yang serupa.

Apakah jenis eksploitasi yang berlaku semasa serangan?

Sememangnya, setiap kes ini adalah unik, dan pelbagai jenis eksploitasi digunakan untuk menangani setiap projek individu, bergantung pada kelemahan dan kelemahannya. Contohnya termasuk ralat logik, serangan masuk semula, serangan pinjaman kilat dengan manipulasi harga dan banyak lagi. Saya percaya bahawa ini adalah hasil daripada protokol DeFi yang menjadi lebih kompleks, dan apabila ia berlaku, kerumitan kod menjadikannya semakin sukar untuk membersihkan semua kelemahan.

Tambahan pula, saya perhatikan dua perkara semasa menganalisis setiap kejadian ini. Yang pertama ialah penggodam berjaya melarikan diri dengan jumlah yang besar setiap kali — nilai berjuta-juta dolar dalam kripto.

"Hari gaji" ini memberi insentif kepada penggodam untuk menghabiskan bila-bila masa yang diperlukan untuk mengkaji protokol, walaupun berbulan-bulan pada satu masa, kerana mereka tahu ganjarannya akan berbaloi. Ini bermakna penggodam bermotivasi untuk menghabiskan lebih banyak masa mencari kelemahan daripada juruaudit.

Perkara kedua yang menonjol ialah, dalam beberapa kes, penggodaman sebenarnya sangat mudah. Ambil serangan Hundred Finance sebagai contoh. Projek itu telah dipukul menggunakan pepijat terkenal yang biasanya boleh ditemui dalam garpu Kompaun jika token ditambahkan pada protokol. Apa yang perlu dilakukan oleh penggodam ialah menunggu sehingga salah satu daripada token ini ditambahkan pada Hundred Finance. Selepas itu, apa yang diperlukan ialah mengikuti beberapa langkah mudah untuk menggunakan eksploit untuk mendapatkan wang.

Apakah yang boleh dilakukan oleh projek DeFi untuk melindungi diri mereka sendiri?

Melangkah ke hadapan, perkara terbaik yang boleh dilakukan oleh projek ini untuk melindungi diri mereka daripada pelakon yang tidak baik adalah dengan memberi tumpuan kepada audit. Lebih mendalam, lebih baik, dan dikendalikan oleh profesional berpengalaman yang tahu perkara yang perlu diberi perhatian. Tetapi, terdapat satu lagi perkara yang boleh dilakukan oleh projek, walaupun sebelum menggunakan audit, dan itu adalah untuk memastikan bahawa mereka mempunyai seni bina yang baik yang dicipta oleh pemaju yang bertanggungjawab.

Ini amat penting kerana kebanyakan projek blockchain adalah sumber terbuka, yang bermaksud kod mereka cenderung untuk disalin dan digunakan semula. Ia mempercepatkan perkara semasa pembangunan, dan kod itu percuma untuk diambil.

Masalahnya ialah jika ternyata ia cacat, dan ia disalin sebelum pembangun asal mengetahui kelemahan dan membetulkannya. Walaupun mereka mengumumkan dan melaksanakan pembetulan, mereka yang menyalinnya mungkin tidak melihat berita dan kod mereka tetap terdedah.

Sejauh manakah audit sebenarnya boleh membantu?

Kontrak pintar berfungsi sebagai program yang dijalankan pada teknologi blockchain. Oleh itu, ada kemungkinan ianya cacat dan ia mengandungi pepijat. Seperti yang saya nyatakan sebelum ini, lebih kompleks kontrak — lebih besar kemungkinan bahawa satu atau dua kecacatan terlepas melalui pemeriksaan pembangun.

Malangnya, terdapat banyak situasi di mana tiada penyelesaian mudah untuk membetulkan kelemahan ini, itulah sebabnya pembangun harus mengambil masa mereka dan memastikan bahawa kod itu dilakukan dengan betul dan bahawa kelemahan itu dapat dikesan serta-merta atau sekurang-kurangnya seawal mungkin.

Di sinilah audit masuk, kerana jika anda menguji kod dan mendokumentasikan kemajuan pembangunannya dan ujian dengan secukupnya, anda boleh menyingkirkan kebanyakan isu lebih awal.

Sudah tentu, walaupun audit tidak dapat memberikan jaminan 100% bahawa tidak akan ada masalah dengan kod tersebut. Tiada siapa boleh. Bukan kebetulan bahawa penggodam memerlukan berbulan-bulan untuk mengetahui kelemahan terkecil yang boleh mereka gunakan untuk kelebihan mereka — anda tidak boleh mencipta kod yang sempurna dan menjadikannya berguna, terutamanya bukan apabila ia melibatkan teknologi baharu.

Audit memang mengurangkan bilangan isu, tetapi masalah sebenar ialah banyak projek yang terkena penggodam tidak mempunyai sebarang audit langsung.

Jadi, kepada mana-mana pemaju dan pemilik projek yang masih dalam proses pembangunan, ingatlah bahawa keselamatan tidak datang daripada lulus audit. Walau bagaimanapun, ia pasti bermula di sana. Bekerja pada kod anda; pastikan ia mempunyai seni bina yang direka dengan baik dan pembangun yang mahir dan rajin mengusahakannya.

Pastikan semuanya diuji dan didokumentasikan dengan baik, dan gunakan semua sumber yang anda boleh gunakan. Pemberian pepijat, sebagai contoh, ialah cara terbaik untuk memastikan kod anda disemak oleh orang dari sudut pandangan penggodam, dan perspektif baharu daripada seseorang yang mencari jalan masuk boleh menjadi sangat berharga dalam memastikan projek anda.