Den desentraliserte finanssektoren vokser i et forrykende tempo. For tre år siden var den totale verdien låst i DeFi bare 800 millioner dollar. I februar 2021 hadde tallet vokst til 40 milliarder dollar; i april 2021 nådde den en milepæl på 80 milliarder dollar; og nå det står på over 140 milliarder dollar. En slik rask vekst i et nytt marked kunne ikke annet enn å tiltrekke seg oppmerksomheten til alle slags hackere og svindlere.
I følge en rapport fra kryptoforskningsselskap, siden 2019, har DeFi-sektoren har tapt rundt 284.9 millioner dollar til hacks og andre utnyttelsesangrep. Hacking av blockchain-økosystemer er et ideelt middel for berikelse fra hackernes synspunkt. Fordi slike systemer er anonyme, har de penger å tape, og ethvert hack kan testes og tunes uten offerets viten. I de fire første månedene av 2021 utgjorde tapene 240 millioner dollar. Og dette er bare de offentlig kjente sakene. Vi anslår reelle tap til å være i milliarder av dollar.
Relatert: Sammendrag av kryptohacks, utnyttelser og heists i 2020
Hvordan blir penger stjålet fra DeFi -protokoller? Vi har analysert flere titalls hackerangrep og identifisert de vanligste problemene som kan føre til hackers angrep.
Misbruk av tredjeparts protokoller og forretningslogiske feil
Ethvert angrep begynner først og fremst med analyse av offeret. Blockchain -teknologien gir mange muligheter for automatisk tuning og simulering av hackingscenarier. For at et angrep skal være raskt og usynlig, må angriperen ha nødvendige programmeringskunnskaper og kunnskap om hvordan smarte kontrakter fungerer. Den typiske verktøykassen til en hacker lar dem laste ned sin egen fulle kopi av en blokkjede fra hovedversjonen av nettverket, og deretter fullstendig avstemme prosessen med et angrep som om transaksjonen fant sted i et ekte nettverk.
Deretter må angriperen studere forretningsmodellen for prosjektet og de eksterne tjenestene som brukes. Feil i matematiske modeller for forretningslogikk og tredjepartstjenester er to av problemene som oftest utnyttes av hackere.
Utviklerne av smarte kontrakter krever ofte mer data som er relevante på transaksjonstidspunktet enn de kan ha til enhver tid. De er derfor tvunget til å bruke eksterne tjenester - for eksempel orakler. Disse tjenestene er ikke designet for å fungere i et tillitsløst miljø, så bruken av dem innebærer ytterligere risiko. I følge statistikk for et kalenderår (siden sommeren 2020) utgjorde den gitte typen risiko den minste andelen tap - bare 10 hack, noe som resulterte i tap på til sammen omtrent 50 millioner dollar.
Relatert: Det radikale behovet for oppdatering av blockchain-sikkerhetsprotokoller
Kodingsfeil
Smarte kontrakter er et relativt nytt konsept i IT-verdenen. Til tross for sin enkelhet, krever programmeringsspråk for smarte kontrakter et helt annet utviklingsparadigme. Utviklerne har ofte rett og slett ikke de nødvendige kodeferdighetene og gjør grove feil som fører til enorme tap for brukerne.
Sikkerhetsrevisjoner eliminerer bare en del av denne typen risiko, siden de fleste revisjonsselskaper på markedet ikke har noe ansvar for kvaliteten på arbeidet de utfører og kun er interessert i det økonomiske aspektet. Mer enn 100 prosjekter ble hacket på grunn av kodefeil, noe som førte til et samlet tapsvolum på rundt 500 millioner dollar. Et sterkt eksempel er dForce hack som fant sted 19. april 2020. Hackerne brukte en sårbarhet i ERC-777 token-standarden i forbindelse med et reentrancy-angrep og slapp unna med 25 millioner dollar.
Relatert: Standardrevisjon for DeFi-prosjekter er et must for å utvide bransjen
Flashlån, prismanipulering og gruveangrep
Informasjonen som er gitt til smartkontrakten er bare relevant på tidspunktet for gjennomføringen av en transaksjon. Som standard er kontrakten ikke immun mot potensiell ekstern manipulering av informasjonen som finnes i. Dette muliggjør et helt spekter av angrep.
Flashlån er lån uten sikkerhet, men innebærer forpliktelse til å returnere den lånte kryptoen innen samme transaksjon. Hvis låntakeren ikke klarer å returnere midlene, blir transaksjonen kansellert (tilbakeført). Slike lån lar låntakeren motta store mengder kryptokurver og bruke dem til sine egne formål. Vanligvis innebærer flashlånangrep prismanipulering. En angriper kan først selge et stort antall lånte tokens i en transaksjon, og derved senke prisen, og deretter utføre et handlingsrom til en veldig lav verdi av token før han kjøper dem tilbake.
Et gruveangrep er en analog av et flashlåneangrep på blokker som jobber på grunnlag av arbeids-konsensus-algoritmen. Denne typen angrep er mer kompleks og dyr, men den kan omgå noen av beskyttelseslagene til flashlån. Slik fungerer det: Angriperen leier gruvekapasitet og danner en blokk som bare inneholder transaksjonene de trenger. Innenfor den gitte blokken kan de først låne tokens, manipulere prisene og deretter returnere de lånte tokensene. Siden angriperen danner transaksjonene som legges inn i blokken uavhengig, så vel som sekvensen, er angrepet faktisk atomisk (ingen annen transaksjon kan “kile seg” inn i angrepet), som i tilfelle av flashlån. Denne typen angrep har blitt brukt til å hacke over 100 prosjekter, med tap på rundt 1 milliard dollar.
Gjennomsnittlig antall hack har økt over tid. I begynnelsen av 2020 utgjorde ett tyveri hundretusenvis av dollar. Ved utgangen av året hadde beløpene steget til titalls millioner dollar.
Relatert: Smarte kontraktutnyttelser er mer etiske enn hacking ... eller ikke?
Utviklerens inkompetanse
Den farligste typen risiko involverer faktoren menneskelig feil. Folk tyr til DeFi på jakt etter raske penger. Mange utviklere er dårlig kvalifisert, men prøver likevel å starte prosjekter i et rush. Smarte kontrakter er åpen kildekode og kan dermed enkelt kopieres og endres på små måter av hackere. Hvis det opprinnelige prosjektet inneholder de tre første typene av sårbarheter, går de over i hundrevis av klonede prosjekter. RFI SafeMoon er et godt eksempel inneholder en kritisk sårbarhet som har blitt overført over hundre prosjekter, noe som fører til potensielle tap på over 2 milliarder dollar.
Denne artikkelen ble medforfatter av Vladislav Komissarov og Dmitry Mishunin.
Synspunktene, tankene og meninger som er uttrykt her, er forfatterenes alene og gjenspeiler ikke nødvendigvis synspunkter og meninger fra Cointelegraph.
Vladislav Komissarov er teknologisjef for BondAppetit, en DeFi-protokoll for utlån med en stablecoin støttet av virkelige eiendeler med fast periodisk inntekt. Han har over 17 års erfaring innen webutvikling.
Dmitry Mishunin er grunnlegger og teknisk sjef for HashEx. Mer enn 30 globale prosjekter kjører på blockchain -integrasjoner designet av HashEx. Over 200 smarte kontrakter ble revidert i 2017–2021.
Kilde: https://cointelegraph.com/news/how-do-defi-protocols-get-hacked
- 100
- 2019
- 2020
- 2021
- 9
- Ytterligere
- algoritme
- Alle
- analyse
- April
- rundt
- Artikkel
- Eiendeler
- Angrep
- revisjon
- Milliarder
- blockchain
- Blockchain teknologi
- virksomhet
- forretningsmodell
- Kjøpe
- Kalender
- kansellert
- saker
- sjef
- Chief Technology Officer
- Koding
- Cointelegraph
- Felles
- Selskaper
- Selskapet
- Konsensus
- kontrakt
- kontrakter
- krypto
- cryptocurrencies
- dato
- desentralisert
- Desentralisert økonomi
- Defi
- utviklere
- Utvikling
- dollar
- dusin
- økosystemer
- Miljø
- gjennomføring
- erfaring
- Exploit
- FAST
- Figur
- finansiere
- finansiell
- Først
- Blitz
- flash-lån
- flash lån
- Grunnleggeren
- fullt
- midler
- Global
- god
- Økende
- Vekst
- hack
- hacker
- hackere
- hacking
- hacks
- her.
- Hvordan
- HTTPS
- Hundrevis
- Inntekt
- informasjon
- integrasjoner
- saker
- IT
- kunnskap
- språk
- stor
- lansere
- føre
- ledende
- utlån
- lån
- Lån
- Manipulasjon
- marked
- millioner
- Gruvedrift
- modell
- penger
- måneder
- nettverk
- Nytt marked
- Offiser
- åpen
- åpen kildekode
- Meninger
- Muligheter
- Annen
- paradigmet
- Ansatte
- Synspunkt
- pris
- Programmering
- programmerings språk
- prosjekt
- prosjekter
- Proof-of-arbeid
- beskyttelse
- kvalitet
- rapporterer
- forskning
- Risiko
- rennende
- jag
- Søk
- sikkerhet
- selger
- Tjenester
- simulering
- ferdigheter
- liten
- Smart
- smart kontrakt
- Smarte kontrakter
- So
- stablecoin
- statistikk
- stjålet
- Studer
- sommer
- Systemer
- Teknologi
- Blokken
- tyveri
- tid
- token
- tokens
- Transaksjonen
- Transaksjoner
- Brukere
- verdi
- Se
- volum
- Sikkerhetsproblemer
- sårbarhet
- web
- innenfor
- Arbeid
- virker
- verden
- år
- år
