DeFi салбар нь мөнгө, хэрэглэгчдийг татсаар байгаа тул дэлхийн өнцөг булан бүрээс ирсэн муу жүжигчид үүнийг сонгоход бэлэн болсон, хамгаалалт муутай сонирхолтой зорилт гэж үзсээр байна.
Сүүлийн хэдэн сарын турш би DeFi протоколуудын хамгийн алдартай мөлжлөгүүдийн заримыг хянаж байсан бөгөөд тэдгээрийн дор хаяж долоо нь зөвхөн ухаалаг гэрээний алдаанаас үүдэлтэй юм шиг санагддаг.
Жишээлбэл, хакерууд Wormhole-ийг цохиж, дээрэмдэж, 300 сая доллар, Qubit Finance (80 сая доллар), Meter (4.4 сая доллар), Deus (3 сая доллар), TreasureDAO (100 гаруй NFT), хамгийн сүүлд Agave болон Hundred Finance-ийг хулгайлсан. , нийтдээ 11 сая доллар алдсан. Эдгээр бүх халдлагын үр дүнд нэлээд их хэмжээний мөнгө хулгайлж, төслүүдэд томоохон хохирол учруулсан.
Зорилтот протоколуудын ихэнх нь криптовалютынхаа ханшийн уналт, хэрэглэгчдийн үл итгэлцэл, DeFi болон ухаалаг гэрээний аюулгүй байдлын талаарх шүүмжлэл болон үүнтэй төстэй сөрөг үр дагаврыг харсан.
Довтолгооны үеэр ямар төрлийн мөлжлөгүүд гарсан бэ?
Мэдээжийн хэрэг, эдгээр тохиолдлууд тус бүр нь өвөрмөц бөгөөд эмзэг, сул талуудаас хамааран төсөл тус бүрийг шийдвэрлэхэд өөр өөр төрлийн мөлжлөгүүдийг ашигласан. Жишээ нь: логик алдаа, дахин нэвтрэх халдлага, үнийн өөрчлөлт бүхий flashloan халдлага гэх мэт. Энэ нь DeFi протоколууд илүү төвөгтэй болж байгаагийн үр дүн гэж би үзэж байгаа бөгөөд кодын нарийн төвөгтэй байдал нь бүх алдаа дутагдлыг арилгахад улам бүр хэцүү болгодог.
Цаашилбал, эдгээр тохиолдлуудад дүн шинжилгээ хийх явцад би хоёр зүйлийг анзаарсан. Эхнийх нь хакерууд олон сая долларын үнэ бүхий крипто мөнгө авах бүртээ мултарч чадсан явдал юм.
Энэхүү "цалингийн өдөр" нь хакеруудад урамшуулал нь үнэ цэнэтэй байх болно гэдгийг мэддэг тул хэдэн сараар ч гэсэн протоколуудыг судлахад шаардлагатай цагийг зарцуулдаг. Энэ нь хакерууд аудиторуудаас илүү алдаа дутагдлыг хайхад илүү их цаг зарцуулдаг гэсэн үг юм.
Онцлох хоёр дахь зүйл бол зарим тохиолдолд хакердах ажиллагаа үнэхээр энгийн байсан явдал юм. Зуун санхүүгийн халдлагыг жишээ болгон авч үзье. Протоколд жетон нэмсэн тохиолдолд ихэвчлэн Compound forks-т олддог алдартай алдааг ашиглан уг төсөлд цохилт өгсөн. Хакерын хийх ёстой зүйл бол эдгээр жетонуудын аль нэгийг Зуун санхүү дээр нэмэх хүртэл хүлээх явдал юм. Үүний дараа мөнгө олохын тулд мөлжлөгийг ашиглах хэд хэдэн энгийн алхамуудыг хийхэд л хангалттай.
DeFi төслүүд өөрсдийгөө хамгаалахын тулд юу хийж чадах вэ?
Цаашид, эдгээр төслүүд өөрсдийгөө муу жүжигчдээс хамгаалахын тулд хийж чадах хамгийн сайн зүйл бол аудитад анхаарлаа хандуулах явдал юм. Илүү гүнзгийрэх тусам илүү сайн, юуг анхаарахаа мэддэг туршлагатай мэргэжилтнүүд удирддаг. Гэхдээ аудит хийхээс өмнө төслүүдийн хийж чадах өөр нэг зүйл байдаг бөгөөд энэ нь хариуцлагатай хөгжүүлэгчдийн бүтээсэн сайн архитектуртай байх явдал юм.
Ихэнх блокчэйн төслүүд нь нээлттэй эх сурвалжтай байдаг тул энэ нь тэдний кодыг хуулж, дахин ашиглах хандлагатай байдаг гэсэн үг юм. Энэ нь хөгжүүлэлтийн явцад бүх зүйлийг хурдасгадаг бөгөөд кодыг авахад үнэ төлбөргүй байдаг.
Асуудал нь алдаатай болох нь тогтоогдсон бөгөөд анхны хөгжүүлэгчид нь сул талуудыг олж илрүүлж, засахаас өмнө үүнийг хуулж авдаг. Хэдийгээр тэд засварыг зарлаж, хэрэгжүүлсэн ч үүнийг хуулсан хүмүүс мэдээг харахгүй байж магадгүй бөгөөд тэдний код эмзэг хэвээр байна.
Аудит нь хэр их тусалж чадах вэ?
Ухаалаг гэрээ нь блокчэйн технологи дээр ажилладаг програмын үүрэг гүйцэтгэдэг. Иймээс тэдгээр нь алдаатай, алдаа агуулсан байж магадгүй юм. Өмнө дурьдсанчлан, гэрээ нь нарийн төвөгтэй байх тусам хөгжүүлэгчдийн үзлэгт нэг юмуу хоёр дутагдал гарах магадлал өндөр байдаг.
Харамсалтай нь, эдгээр дутагдлыг засах хялбар шийдэл байхгүй олон нөхцөл байдал байдаг тул хөгжүүлэгчид цаг заваа гаргаж, кодыг зөв хийж, алдаа дутагдлыг нэн даруй эсвэл ядаж аль болох эрт илрүүлэх хэрэгтэй.
Энд л аудит орж ирдэг, учир нь хэрэв та кодыг туршиж, түүний боловсруулалтын явц, туршилтыг зохих ёсоор баримтжуулж чадвал ихэнх асуудлаас эртхэн ангижрах боломжтой.
Мэдээжийн хэрэг, аудит ч гэсэн кодтой холбоотой асуудал гарахгүй гэсэн 100% баталгаа өгч чадахгүй. Хэн ч чадахгүй. Хакерууд өөрсдөдөө ашигтайгаар ашиглаж болох хамгийн бага эмзэг байдлыг олж мэдэхийн тулд хэдэн сарын хугацаа шаардагдах нь санамсаргүй зүйл биш юм - та төгс кодыг бүтээж, үүнийг ашигтай болгож чадахгүй, ялангуяа шинэ технологийн тухай биш юм.
Аудит нь асуудлын тоог бууруулдаг боловч хакеруудад өртсөн ихэнх төслүүдэд аудит огт хийгдээгүй нь жинхэнэ асуудал юм.
Тиймээс, хөгжүүлэлтийн шатандаа байгаа аливаа хөгжүүлэгчид болон төслийн эзэд аюулгүй байдал нь аудитын шалгалтаар дамждаггүй гэдгийг санах хэрэгтэй. Гэсэн хэдий ч энэ нь тэндээс эхэлдэг нь гарцаагүй. Өөрийн код дээр ажиллах; Энэ нь сайн зохион бүтээсэн архитектуртай, чадварлаг, хичээнгүй хөгжүүлэгчид үүн дээр ажилладаг эсэхийг шалгаарай.
Бүх зүйл шалгагдаж, сайтар баримтжуулсан эсэхийг шалгаад өөрт байгаа бүх нөөцийг ашигла. Жишээлбэл, алдааны урамшуулал нь таны кодыг хакеруудын нүдээр хүмүүсээр шалгах гайхалтай арга бөгөөд нэвтрэх арга замыг хайж буй хэн нэгний шинэ үзэл бодол нь таны төслийг хамгаалахад үнэлж баршгүй зүйл юм.
HashEx-ээс Глеб Зыковын зочны бичлэг
Глеб судалгааны хүрээлэнд программ хангамж боловсруулах чиглэлээр ажлын гараагаа эхэлж, Оросын Онцгой байдлын яаманд янз бүрийн төрлийн робот зохион бүтээж, техникийн болон програмчлалын өндөр мэдлэгтэй болсон.
Хожим нь Глеб өөрийн техникийн туршлагаа мэдээллийн технологийн GTC-Soft компанид авчирч, Android программуудыг зохион бүтээжээ. Тэрээр ахлах хөгжүүлэгч болж, дараа нь компанийн ерөнхий захирал болжээ. GTC-д Глеб олон тооны тээврийн хэрэгслийн хяналтын үйлчилгээ болон дээд зэрэглэлийн таксинд зориулсан Uber-тэй төстэй үйлчилгээг хөгжүүлэхэд тэргүүлсэн. 2017 онд Глеб олон улсын блокчейн аудит, зөвлөх компани болох HashEx-ийн үүсгэн байгуулагчдын нэг болсон. Глеб нь компанийн үйлчлүүлэгчдэд зориулсан блокчейн шийдлүүдийг хөгжүүлэх, ухаалаг гэрээний аудитыг удирдан чиглүүлдэг Технологийн захирлын албан тушаалыг хашдаг.
Эх сурвалж: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/