Децентрализованное финансирование (DeFi) останется с заблокированной общей стоимостью более 100 миллиардов долларов (TVL), выделив свидетельство веры в эти новые финансовые инструменты. Эти инвестиции будут продолжать расти, но похоже, что с каждым новым рекордом в TVL сообщается об очередной сетевой атаке с астрономическими потерями.
Криптопреступность снизилась на 57% в 2020 году, но количество взломов DeFi резко возросло, что стоило компаниям и инвесторам миллиардов долларов США. Только в марте было зафиксировано несколько атак всего за пять дней. Платная сеть теряет 180 миллионов долларов. Позже в мае PancakeBunny потерял более 200 миллионов долларов в эксплойте флэш-кредита.
Ясно, что в текущих протоколах безопасности блокчейнов слишком много лазеек и взломов. От мошенничества до фишинга, безопасность и технологии в этой сфере не так зрелы, как можно судить по цифрам. Но есть важные методы, которые могут использовать как разработчики, так и пользователи, чтобы восполнить этот пробел.
Децентрализованные технологии по-прежнему централизованы
Независимо от того, насколько децентрализованным является протокол, основная структура по-прежнему централизована. Если посмотреть на одну из наших основных функций Интернета, записи DNS, каждое доменное имя по-прежнему централизовано - принадлежит правительству, государству или компании, которые имеют высшую власть над доменом и могут отключить его, если захотят.
Пример централизации в рамках децентрализации - смарт-контракты. Те, кто пишет смарт-контракты Ethereum или Binance, имеют последнее слово в том, что находится в коде, и есть способы закодировать гнусные программы, такие как вытягивание коврика, в смарт-контракты.
Во время бума урожайности летом 2020 года мы видели, как появилось много протоколов для получения прибыли от денег, вливаемых в DeFi, и это продолжалось в этом году. В марте, TurtleDex потянул коврик, который фактически был бэкдором в смарт-контракте, в результате которого у инвесторов было украдено 2.5 миллиона долларов. Эта преднамеренная функция позволяет разработчикам программировать мошенничество, которое затем выполняется в зависимости от других событий в коде, и TurtleDex - один из многих проектов в этом году, которые запрограммировали «вытягивание коврика».
Связанный: Урожайное земледелие - это мода, но DeFi обещает изменить то, как мы взаимодействуем с деньгами.
Аудиты смарт-контрактов - это хороший способ предотвратить «рывки», но даже в этом случае мы видим случаи, когда разработчики заменяют проверенный смарт-контракт на неаудированный. Случай Compounder демонстрирует насколько легко мошенническому проекту получить влияние на известные, уважаемые имена в этой сфере. Они смогли быстро заработать на Harvest Finance и Yearn.finance, прежде чем потрепать своих пользователей и уйти с миллионами долларов в криптовалюте.
Связанный: Аудит по умолчанию для проектов DeFi необходим для развития отрасли
Последние тенденции в взломах
Помимо рывков ковра, существует множество популярных атак, которые могут привести к краху всей компании, если они не будут подготовлены. Атака 51% - когда группа майнеров контролирует более 50% хешрейта майнинга сети, что позволяет им исключать или манипулировать записями транзакций для выполнения двойных расходов или нарушения цепочки блоков - по-прежнему часта. Фиро и оскал оба недавно пострадали от 51% атак.
Даже некоторые криптовалютные проекты с ведущими размерами рыночной капитализации по-прежнему небезопасны. В феврале было сообщил, что 200 дней транзакций XVG в сети Verge были стерты, что фактически стало «самой глубокой реорганизацией, которая когда-либо происходила в топ-100 криптовалют».
Мы принимаем эти ошибки как часть опыта работы с блокчейном, но какова была бы реакция, если бы то же самое случилось, например, с крупным банком? Скорее всего, будет намного больше заголовков в СМИ и шума от пользователей и клиентов. Эти события остаются в значительной степени незамеченными в криптографии, потому что пользователей меньше, но с недавним бычьим рынком это меняется. Неизбежно больше внимания будет уделяться безопасности публичных блокчейнов.
Методы предотвращения взлома, например, рывков за ковер
К сожалению для разработчиков, при работе с криптовалютой всегда возможны взломы. Вопрос не в том, как предотвратить взлом, а в том, как снизить вероятность взлома. Некоторые улучшения аппаратных кошельков - например Мультиподписной кошелек Gnosis Safe, например, являются ключевыми элементами повышения общей безопасности.
Использование кошелька с несколькими подписями позволяет нескольким пользователям хранить ключи от одного и того же кошелька и требует взаимного участия для выполнения действий с учетной записью. Поскольку для такого кошелька требуется ввод данных от нескольких пользователей для совершения сделок, практически невозможно выполнить извлечение ковра с этим типом хранилища.
Другой способ защиты от выдергивания ковра - это временные замки. Многие децентрализованные приложения используют временные блокировки, поэтому, если разработчик пытается вывести своих пользователей из строя, вы получаете предупреждение о том, что нужно удалить средства, примерно от 12 до 24 часов.
Такие методы обеспечения безопасности будут способствовать более широкому доверию к DeFi и создавать культуру безопасности, которая будет способствовать развитию нашей отрасли.
Повышение безопасности кошелька в криптографии
Безопасность кошелька в конечном итоге сводится к тому, чтобы разработчики и пользователи применяли более разумные методы. Регулярные проверки безопасности и методы внутренней безопасности могут способствовать повышению безопасности кошельков.
Хотя аудит безопасности - хорошее решение, Uniswap и другие автоматизированный маркет-мейкер на основе децентрализованные биржи (DEX) не имеют разрешений, поэтому проводить регулярные проверки невозможно. Лучшая практика - понимать особенности монет «справедливого запуска» - проектов, запускаемых с DEX. Хотя многие из этих проектов имеют высокое качество, известно, что многие из них содержат серьезные уязвимости. Открытый исходный код упрощает для всех самостоятельный аудит и проверку безопасности смарт-контракта, предоставляя пользователям больше инструментов для практики хорошей безопасности.
Может показаться большим подвигом попросить пользователя практиковать хорошую безопасность, но это необходимо, чтобы получить доступ ко многим преимуществам криптовалют и, особенно, DeFi. В традиционных банках за безопасность отвечает банк, но в криптографии безопасность сводится к практике разработчиков и пользователей.
Если вы забыли свой банковский пароль или отправили средства не тому человеку, вы можете связаться со своим банком, чтобы смягчить транзакцию, пока она не будет разрешена. Но в криптографии, если вы потеряете свои ключи или отправите деньги не на тот адрес, резервной копии нет. Одним из многих преимуществ, конечно же, является то, что вам не нужно беспокоиться о том, доступны ли ваши средства в криптовалюте, в то время как банки могут закрыть свои двери и ввести контроль за движением капитала, например произошло во время банковского кризиса в Греции 2015 года.
Заключение
Как разработчики, нам необходимо внедрить перекрестную проверку и аудит безопасности, а также возложить ответственность друг на друга за разработку все более эффективных методов обеспечения безопасности.
Пользователи должны рассмотреть возможность применения собственных протоколов безопасности и понять нюансы хранения и возможные сценарии взлома. Хорошей практикой для пассивных держателей криптовалюты является отключение аппаратного кошелька от Интернета или бумажного кошелька, который на 100% отключен и не требует онлайн-синхронизации для каких-либо обновлений прошивки.
Фишинговые атаки, один из первоначальных видов интернет-взломов, по-прежнему распространены и часты. Способ борьбы с попытками фишинга - проверить подлинность отправителя.
Не вводите свои закрытые ключи или исходные фразы на каких-либо веб-сайтах и не отправляйте их кому-либо в общедоступных каналах или в личных сообщениях. Как правило, вы должны вводить свою seed-фразу только при первоначальной настройке кошелька. Более того, вы должны вводить свою начальную фразу только в том случае, если вам нужно восстановить свой кошелек после того, как вы забыли пароль, вам нужно импортировать существующий кошелек на новое устройство или использовать совместимое программное обеспечение кошелька. Как правило, рекомендуется использовать устройства аппаратного кошелька, которые никогда не будут передавать ваши данные в какое-либо программное обеспечение - во многих случаях нельзя рекомендовать даже надежное приложение или программное обеспечение для кошелька.
По мере того, как мы продолжаем строить нашу новую глобальную (в основном) экономику DeFi, крайне важно повышать безопасность, чтобы массовое внедрение и капитал могли продолжать поступать в пространство, чтобы следующее поколение могло получить доступ к новым границам финансовой независимости.
Эта статья не содержит советов или рекомендаций по инвестированию. Каждое инвестиционное и торговое движение сопряжено с риском, и читатели должны проводить собственное исследование при принятии решения.
Мнения, мысли и мнения, выраженные здесь, являются одними только автора и не обязательно отражают или представляют взгляды и мнения Cointelegraph.
Кадан Штадельманн - разработчик блокчейнов, эксперт по безопасности операций и технический директор Komodo Platform. Его опыт варьируется от работы в сфере безопасности операций в государственном секторе и запуска технологических стартапов до разработки приложений и криптографии. Кадан начал свой путь к технологии блокчейн в 2011 году и присоединился к команде Komodo в 2016 году.
Источник: https://cointelegraph.com/news/the-radical-need-for-updating-blockchain-security-protocols
- 100
- 11
- 2016
- 2020
- Атака 51%
- доступ
- Учетная запись
- Принятие
- совет
- Все
- Позволяющий
- Применение
- Программы
- около
- гайд
- аудит
- задняя дверь
- Восстановление
- Банка
- Банковское дело
- Банки
- ЛУЧШЕЕ
- миллиард
- binance
- блокчейн
- Безопасность блочной цепи
- Технологии блочейна
- бум
- строить
- столица
- проведение
- случаев
- Вызывать
- шансы
- изменение
- каналы
- главный
- Главный технический директор
- требования
- CNN
- код
- Coins
- Cointelegraph
- Общий
- Компании
- Компания
- продолжать
- контракт
- контрактов
- Преступление
- кризис
- крипто-
- криптовалюты
- криптовалюта
- криптография
- Культура
- Текущий
- Децентрализация
- децентрализованная
- Defi
- Застройщик
- застройщиков
- Развитие
- Устройства
- Dex
- срывать
- DNS
- долларов
- Имя домена
- упал
- экономику
- Эфириума
- События
- Биржи
- Эксплуатировать
- сельское хозяйство
- Особенность
- Особенности
- финансы
- финансовый
- Flash
- поток
- средства
- разрыв
- Отдаете
- Глобальный
- хорошо
- Правительство
- Греции
- группы
- Рост
- взлом
- взломы
- Аппаратные средства
- Аппаратный кошелек
- Аппаратные кошельки
- урожай
- хэш
- хэш-ставка
- Последние новости
- здесь
- High
- держать
- Как
- How To
- HTTPS
- Увеличение
- промышленность
- Интернет
- инвестиций
- Инвесторы
- IT
- Основные
- ключи
- ведущий
- утечка
- Mainstream
- основное принятие
- основной
- Создание
- Март
- рынок
- Рынок
- Медиа
- миллиона
- Шахтеры
- Горнодобывающая промышленность
- деньги
- двигаться
- Multisig
- имена
- сеть
- номера
- сотрудник
- онлайн
- открытый исходный код
- Операционный отдел
- Мнения
- Опция
- заказ
- Другое
- бумага & картон
- Пароль
- фишинг
- фразы
- Популярное
- частная
- Частные ключи
- Прибыль
- FitPartner™
- Программы
- Проект
- проектов
- что такое варган?
- тянущий
- реакция
- читатели
- учет
- Recover
- исследованиям
- Снижение
- безопасный
- Мошенничество
- мошенничество
- безопасность
- семя
- начальная фраза
- набор
- умный
- умный контракт
- Смарт-контракты
- So
- Software
- Space
- и политические лидеры
- Стартапы
- Область
- оставаться
- украли
- диск
- лето
- Коммутатор
- Технологии
- топ
- торги
- Торговля
- сделка
- Тенденции
- Доверие
- нам
- Uniswap
- Updates
- пользователей
- ценностное
- Хранилище
- ходьба
- Кошелек
- Кошельки
- Вебсайт
- КТО
- в
- год
- Уступать