La finanza decentralizzata (DeFi) è qui per restare con oltre $ 100 miliardi di valore totale bloccato (TVL), mettendo in evidenza le prove di fiducia in questi nuovi strumenti finanziari. Questo investimento continuerà ad aumentare, ma sembra che con ogni nuovo record in TVL, venga segnalato un altro attacco di rete con perdite astronomiche.
Il crimine crittografico è sceso del 57% nel 2020, ma gli hack DeFi sono aumentati, costando alle aziende e agli investitori miliardi di dollari USA. Solo a marzo, ci sono stati diversi attacchi in un periodo di soli cinque giorni, con, Rete a pagamento che perde $ 180 milioni. Più tardi a maggio, PancakeBunny perso più di $ 200 milioni in un exploit di prestito flash.
È chiaro che ci sono troppe scappatoie e hack negli attuali protocolli di sicurezza blockchain. Dai rug pull alle truffe di phishing, la sicurezza e la tecnologia di questo spazio non sono così mature come i numeri fanno sembrare. Ma ci sono pratiche critiche che sia gli sviluppatori che gli utenti possono implementare per colmare questo divario.
La tecnologia decentralizzata è ancora centralizzata
Non importa quanto un protocollo affermi di essere decentralizzato, la struttura sottostante è ancora centralizzata. Considerando una delle nostre funzionalità principali di Internet, i record DNS, ogni nome di dominio è ancora centralizzato, di proprietà di un governo, stato o società che ha l'autorità suprema sul dominio e potrebbe spegnerlo se lo desidera.
Un esempio di centralizzazione all'interno del decentramento sono i contratti intelligenti. Coloro che scrivono contratti intelligenti Ethereum o Binance hanno l'ultima parola su cosa c'è nel codice, e ci sono modi per codificare programmi nefasti, come i rug pull, in contratti intelligenti.
Durante il boom dell'agricoltura produttiva dell'estate 2020, abbiamo visto spuntare molti protocolli per trarre profitto dal denaro versato in DeFi, e questo è continuato anche quest'anno. Nel mese di marzo, TurtleDex ha eseguito un tiro al tappeto, che era effettivamente una backdoor nel contratto intelligente che ha portato a $ 2.5 milioni rubati agli investitori. Questa funzione intenzionale consente agli sviluppatori di programmare truffe che vengono poi eseguite in base ad altri eventi nel codice e TurtleDex è uno dei tanti progetti di quest'anno che ha programmato un tiro al tappeto.
Gli audit degli smart contract sono un buon modo per prevenire le rotture del tappeto, ma anche in questo caso vediamo casi in cui gli sviluppatori cambieranno il contratto intelligente verificato con uno non verificato. Il caso di Compounder dimostra quanto è facile per un progetto di truffa guadagnare influenza su nomi noti e rispettabili nello spazio. Sono stati in grado di capitalizzare rapidamente Harvest Finance e Yearn.finance prima di tirare il tappeto sui loro utenti e andarsene con milioni di dollari in criptovalute.
Correlato: L'auditing predefinito per i progetti DeFi è un must per la crescita del settore
Tendenze recenti negli hack
Oltre ai tiri da tappeto, ci sono molti attacchi popolari che possono far crollare un'intera azienda se non sono preparati. Un attacco del 51%, ovvero quando un gruppo di minatori controlla più del 50% dell'hash rate di mining della rete, consentendo loro di escludere o manipolare i record delle transazioni per eseguire doppie spese o interrompere una blockchain, è ancora frequente. firo ed Sorriso entrambi hanno recentemente sofferto di attacchi del 51%.
Anche alcuni progetti di criptovaluta con le principali dimensioni di capitalizzazione di mercato non sono ancora sicuri. A febbraio è stato ha riferito che 200 giorni di transazioni XVG sulla rete Verge sono stati cancellati, essendo effettivamente la "riorganizzazione più profonda che abbia mai avuto luogo in una delle prime 100 criptovalute".
Accettiamo questi errori come parte dell'esperienza blockchain, ma quale sarebbe la reazione se la stessa cosa accadesse ad una grande banca, ad esempio? Probabilmente ci sarebbero molti più titoli dei media e clamore da parte di utenti e clienti. Questi eventi passano in gran parte inosservati nelle criptovalute perché ci sono meno utenti, ma con il recente mercato rialzista, questo sta cambiando. Inevitabilmente, verrà posto più controllo sulla sicurezza delle blockchain pubbliche.
Pratiche per prevenire gli hack come i tiri del tappeto
Sfortunatamente per gli sviluppatori, gli hack sono sempre possibili mentre si lavora con le criptovalute. La domanda non è come prevenire gli hack, ma come prevenire le tue possibilità di essere hackerato. Alcuni progressi nei portafogli hardware, come Il portafoglio multifirma di Gnosis Safe, ad esempio, sono elementi chiave per migliorare la sicurezza generale.
L'utilizzo di un portafoglio multisig consente a più utenti di conservare le chiavi per lo stesso portafoglio e richiede la partecipazione reciproca per eseguire azioni sull'account. Poiché un portafoglio come questo richiede l'input di più utenti per effettuare operazioni, è quasi impossibile eseguire pull pull con questo tipo di caveau.
Un'altra pratica di sicurezza per evitare che il tappeto tiri è il timelock. Molte app decentralizzate utilizzano i timelock in modo che se uno sviluppatore cerca di stordire i suoi utenti, hai un avviso di circa 12-24 ore per rimuovere i fondi.
Questi tipi di pratiche di sicurezza incoraggeranno una maggiore fiducia nella DeFi e creeranno una cultura della sicurezza che farà progredire il nostro settore.
Migliorare la sicurezza del portafoglio in cripto
La sicurezza del portafoglio alla fine si riduce agli sviluppatori e agli utenti che implementano pratiche più intelligenti. Controlli di sicurezza regolari e pratiche di sicurezza interna possono contribuire a portafogli più sicuri.
Mentre gli audit di sicurezza sono una buona soluzione, Uniswap e altri basato su market maker automatizzato gli scambi decentralizzati (DEX) sono senza autorizzazione, quindi è impossibile eseguire audit regolari. La migliore pratica è comprendere le specifiche relative alle monete di "lancio equo", progetti che vengono lanciati da un DEX. Sebbene molti di questi progetti siano di alta qualità, molti sono noti per avere importanti exploit. Il codice open source rende più facile per chiunque controllare da solo e verificare se il contratto intelligente è sicuro, offrendo agli utenti più strumenti per praticare una buona sicurezza.
Può sembrare una grande impresa chiedere a un utente di praticare una buona sicurezza, ma è necessario per accedere ai numerosi vantaggi delle criptovalute e, soprattutto, della DeFi. Con le banche tradizionali, la banca è responsabile della sicurezza, ma nelle criptovalute la sicurezza si riduce alle pratiche degli sviluppatori e degli utenti.
Se dimentichi la password della tua banca o invii fondi alla persona sbagliata, puoi contattare la tua banca per mitigare la transazione fino a quando non viene risolta. Ma in criptovaluta, se perdi le chiavi o invii denaro all'indirizzo sbagliato, non esiste un'opzione di backup. Uno dei tanti vantaggi, ovviamente, è che non devi preoccuparti se i tuoi fondi sono disponibili in criptovaluta, mentre le banche possono chiudere i battenti e imporre controlli sui capitali, come quello successo nella crisi bancaria greca del 2015.
Conclusione
Come sviluppatori, dobbiamo implementare la convalida incrociata e gli audit di sicurezza, oltre a ritenerci reciprocamente responsabili dello sviluppo di pratiche di sicurezza sempre più migliorate.
Gli utenti dovrebbero prendere in considerazione l'esecuzione dei propri protocolli di sicurezza e comprendere le sfumature nell'archiviazione e i potenziali scenari di hacking. Una buona pratica per i detentori di criptovalute passivi è quella di avere un portafoglio hardware disconnesso da Internet o un portafoglio cartaceo offline al 100% e che non richiede la sincronizzazione online per eventuali aggiornamenti del firmware.
Gli attacchi di phishing, uno dei tipi originali di hack di Internet, sono ancora comuni e frequenti. Il modo per combattere i tentativi di phishing è verificare se il mittente è autentico.
Non inserire le tue chiavi private o frasi seme su alcun sito Web o inviarle a nessuno in canali pubblici o DM. Generalmente, dovresti inserire la tua frase seme solo quando hai impostato inizialmente il tuo portafoglio. Inoltre, dovresti inserire la tua frase seme solo se hai bisogno di recuperare il tuo portafoglio dopo aver dimenticato la password, devi importare un portafoglio esistente su un nuovo dispositivo o utilizzare il software del portafoglio compatibile. In genere si consiglia di utilizzare dispositivi di portafoglio hardware che non trasmettano mai il seme a nessun tipo di software - in molti casi nemmeno un'applicazione o un software di portafoglio affidabile potrebbe essere raccomandato.
Mentre continuiamo a costruire la nostra nuova economia globale (principalmente) DeFi, è fondamentale migliorare la sicurezza in modo che l'adozione tradizionale e il capitale possano continuare a fluire nello spazio, in modo che la prossima generazione possa accedere a nuove frontiere di indipendenza finanziaria.
Questo articolo non contiene consigli o raccomandazioni di investimento. Ogni mossa di investimento e trading comporta dei rischi e i lettori dovrebbero condurre le proprie ricerche quando prendono una decisione.
Le opinioni, i pensieri e le opinioni espressi qui sono solo dell'autore e non riflettono o rappresentano necessariamente le opinioni e le opinioni di Cointelegraph.
Kadan Stadelmann è uno sviluppatore blockchain, esperto di sicurezza delle operazioni e chief technology officer di Komodo Platform. La sua esperienza spazia dal lavoro nella sicurezza delle operazioni nel settore governativo e il lancio di startup tecnologiche allo sviluppo di applicazioni e crittografia. Kadan ha iniziato il suo viaggio nella tecnologia blockchain nel 2011 ed è entrato a far parte del team di Komodo nel 2016.
Fonte: https://cointelegraph.com/news/the-radical-need-for-updating-blockchain-security-protocols
- 100
- 11
- 2016
- 2020
- Attacco 51%
- accesso
- Il mio account
- Adozione
- consigli
- Tutti
- Consentire
- Applicazioni
- applicazioni
- in giro
- articolo
- revisione
- porta posteriore
- di riserva
- Banca
- Settore bancario
- Banche
- MIGLIORE
- Miliardo
- binance
- blockchain
- Sicurezza di Blockchain
- La tecnologia blockchain
- boom
- costruire
- capitale
- trasporto
- casi
- Causare
- probabilità
- il cambiamento
- canali
- capo
- Chief Technology Officer
- CNN
- codice
- Monete
- Cointelegraph
- Uncommon
- Aziende
- azienda
- continua
- contratto
- contratti
- crimine
- crisi
- crypto
- cryptocurrencies
- criptovaluta
- crittografia
- Cultura
- Corrente
- Decentramento
- decentrata
- DeFi
- Costruttori
- sviluppatori
- Mercato
- dispositivi
- Dex
- disturbare
- dns
- dollari
- Domain Name
- caduto
- economia
- Ethereum
- eventi
- Cambi Merce
- Sfruttare
- agricoltura
- caratteristica
- Caratteristiche
- finanziare
- finanziario
- Cromatografia
- flusso
- fondi
- divario
- Dare
- globali
- buono
- Enti Pubblici
- Grecia
- Gruppo
- Crescita
- pirateria informatica
- hack
- Hardware
- Portafoglio Hardware
- hardware wallet
- raccolto
- hash
- hash rate
- Notizie
- qui
- Alta
- tenere
- Come
- Tutorial
- HTTPS
- Aumento
- industria
- Internet
- investimento
- Investitori
- IT
- Le
- Tasti
- principale
- perdita
- corrente principale
- adozione tradizionale
- maggiore
- Fare
- Marzo
- Rappresentanza
- Market Cap
- Media
- milione
- minatori
- Siti di estrazione mineraria
- soldi
- cambiano
- Multisig
- nomi
- Rete
- numeri
- Responsabile
- online
- codice open source
- Operazioni
- Opinioni
- Opzione
- minimo
- Altro
- Carta
- Password
- phishing
- Frasi
- Popolare
- un bagno
- Chiavi private
- Profitto
- Programma
- Programmi
- progetto
- progetti
- la percezione
- traino
- qualità
- reazione
- lettori
- record
- Recuperare
- riparazioni
- Rischio
- sicura
- Truffa
- truffe
- problemi di
- seme
- frase del seme
- set
- smart
- smart contract
- Smart Contract
- So
- Software
- lo spazio
- iniziato
- Startup
- Regione / Stato
- soggiorno
- rubare
- conservazione
- estate
- Interruttore
- Tecnologia
- top
- mestieri
- Trading
- delle transazioni
- tendenze
- Affidati ad
- noi
- Uniswap
- Aggiornamenti
- utenti
- APPREZZIAMO
- Volta
- a piedi
- Portafoglio
- Portafogli
- Sito web
- OMS
- entro
- anno
- dare la precedenza