Най-новите тенденции в хакерските атаки и как да се справяме с тях

Тъй като секторът DeFi продължава да привлича пари и потребители, лошите участници от цял ​​свят продължават да го разглеждат като привлекателна цел, която е узряла за бране и слабо защитена.

През последните няколко месеца следя някои от най-забележителните експлойти на DeFi протоколите и поне седем от тях изглежда са резултат само от недостатъци в интелигентния договор.

Например, хакери удариха и ограбиха Wormhole, откраднайки над 300 милиона долара, Qubit Finance (80 милиона долара), Meter (4.4 милиона долара), Deus (3 милиона долара), TreasureDAO (над 100 NFT) и накрая, Agave и Hundred Finance, които заедно , загуби общо 11 милиона долара. Всички тези атаки доведоха до кражба на доста значителни суми пари, причинявайки големи щети на проектите.

Много от целевите протоколи са наблюдавали обезценяване на тяхната криптовалута, недоверие от страна на потребителите, критики по отношение на сигурността на DeFi и смарт договорите и подобни негативни последици.

Какви видове експлоати се случиха по време на атаките?

Естествено, всеки от тези случаи е уникален и за справяне с всеки отделен проект са използвани различни видове експлойти, в зависимост от техните уязвимости и недостатъци. Примерите включват логически грешки, атаки при повторно влизане, атаки с флаш заем с манипулации на цените и др. Вярвам, че това е резултат от това, че DeFi протоколите стават по-сложни и докато го правят, сложността на кода прави все по-трудно изчистването на всички недостатъци.

Освен това забелязах две неща, докато анализирах всеки един от тези инциденти. Първата е, че хакерите успяваха да се разминат с огромни суми всеки път - на стойност милиони долари в криптовалута.

Този „ден на заплатата“ дава на хакерите стимул да отделят необходимото време в изучаване на протоколите, дори месеци наведнъж, тъй като знаят, че наградата ще си заслужава. Това означава, че хакерите са мотивирани да прекарват много повече време в търсене на недостатъци, отколкото одиторите.

Второто нещо, което изпъква, е, че в някои случаи хаковете всъщност са изключително прости. Вземете за пример атаката на Сто финанси. Проектът беше ударен с помощта на добре известна грешка, която обикновено може да бъде намерена в Compound forks, ако към протокола се добави токен. Всичко, което хакерът трябва да направи, е да изчака, докато един от тези токени бъде добавен към Стоте финанси. След това всичко, което е необходимо, е да следвате няколко прости стъпки, за да използвате експлойта, за да стигнете до парите.

Какво могат да направят проектите на DeFi, за да се защитят?

Продължавайки напред, най-доброто нещо, което тези проекти могат да направят, за да се предпазят от лоши участници, е да се съсредоточат върху одитите. Колкото по-задълбочено, толкова по-добре и се провежда от опитни професионалисти, които знаят на какво да обърнат внимание. Но има още нещо, което проектите могат да направят, дори преди да прибягват до одитите, и това е да гарантират, че имат добра архитектура, създадена от отговорни разработчици.

Това е особено важно, тъй като повечето блокчейн проекти са с отворен код, което означава, че техният код има тенденция да се копира и използва повторно. Това ускорява нещата по време на разработката и кодът е безплатен за вземане.

Проблемът е, ако се окаже, че е дефектен и се копира, преди първоначалните разработчици да разберат уязвимостите и да ги поправят. Дори и да обявят и приложат корекцията, тези, които са я копирали, може да не видят новините и техният код остава уязвим.

Колко всъщност могат да помогнат одитите?

Интелигентните договори функционират като програми, които работят на блокчейн технология. Като такива е възможно те да са дефектни и да съдържат бъгове. Както споменах по-рано, колкото по-сложен е договорът — толкова по-голям е шансът някой или два недостатък да се промъкнат през проверките на разработчиците.

За съжаление, има много ситуации, в които няма лесно решение за отстраняване на тези недостатъци, поради което разработчиците трябва да отделят време и да се уверят, че кодът е направен правилно и че недостатъците се забелязват незабавно или поне възможно най-рано.

Тук идват одитите, защото ако тествате кода и документирате напредъка на неговото развитие и тестовете адекватно, можете да се отървете от повечето проблеми рано.

Разбира се, дори одитите не могат да дадат 100% гаранция, че няма да има проблеми с кода. Никой не може. Не е случайно, че хакерите се нуждаят от месеци, за да разберат и най-малката уязвимост, която могат да използват в своя полза – не можете да създадете перфектния код и да го направите полезен, особено когато става въпрос за нова технология.

Одитите намаляват броя на проблемите, но истинският проблем е, че много от проектите, които са засегнати от хакерите, дори не са имали никакви одити.

Така че за всички разработчици и собственици на проекти, които все още са в процес на разработка, трябва да запомнят, че сигурността не идва от преминаването на одит. Със сигурност обаче започва от там. Работете върху вашия код; уверете се, че има добре проектирана архитектура и че сръчни и усърдни разработчици работят върху него.

Уверете се, че всичко е тествано и добре документирано и използвайте всички ресурси, с които разполагате. Наградите за грешки, например, са чудесен начин вашият код да бъде проверен от хора от гледна точка на хакерите, а нова гледна точка от някой, който търси начин, може да бъде безценна за защитата на вашия проект.