Tegenwoordig staat de blockchain-markt als geheel nog in de kinderschoenen, en de gedecentraliseerde financiering (DeFi) markt is het meest veelbelovende deel. Volgens gegevens van DefiLlama had de DeFi-markt in 2021 ongeveer $ 200 miljard aan liquiditeit opgesloten in slimme contracten. Als we dit kapitaal zien als een initiële investering, lijkt deze markt een veelbelovende onderneming. Niet al te veel internationale bedrijven kunnen bogen op een dergelijke kapitalisatie. Maar elke jonge markt heeft zijn kinderziektes. Met DeFi is het belangrijkste probleem een gebrek aan gekwalificeerde blockchain-ontwikkelaars.
Deze industrie is erg jong en heeft een relatief klein gebruikersbestand. De meeste mensen hebben hoogstens van DeFi gehoord zonder enig idee te hebben wat het is. Maar zoals bij elke nieuwe veelbelovende onderneming, wekt het al snel veel speculatieve interesse op. Helaas duurt het voorbereiden van personeel veel langer, zeker als het gaat om kennisintensieve sferen als blockchain en smart contract development. Dit betekent dat sommige projectteams compromissen zullen moeten sluiten en minder ervaren personeel zullen moeten inhuren.
Dit probleem is onvermijdelijk creëert een groeiend risico op mazen in de beveiliging in de code van deze projecten. En dan hebben we te maken met de gevolgen ervan in verloren gebruikerskapitaal. Om maar een beetje te begrijpen hoe groot dit probleem is, kan ik zeggen dat ongeveer 10% van DeFi's totale geblokkeerde liquiditeit is gestolen door hackers. Het zou niemand moeten verbazen dat het grote publiek liever wegblijft van een financieel systeem dat zulke gevaren voor hun geld oplevert.
Zie ook: Hoe worden DeFi-protocollen gehackt?
Hoe zijn DeFi-exploits recentelijk veranderd?
Aanvallen op DeFi zijn lange tijd gecentreerd rond re-entry-aanvallen. We kunnen ons de beroemde . herinneren De DAO-hack van 2016 die resulteerde in het verlies van $ 150 miljoen aan investeerderskapitaal en leidde tot de hard fork van Ethereum. Sindsdien is deze kwetsbaarheid vele malen misbruikt in verschillende slimme contracten.
De callback-functie wordt actief gebruikt door uitleenprotocollen: hiermee kunnen slimme contracten het onderpandsaldo van gebruikers controleren voordat een lening wordt verstrekt. Al dit proces gebeurt binnen één transactie, waardoor hackers een tijdelijke oplossing hebben om geld van dergelijke slimme contracten te stelen. Wanneer u een verzoek om geld te lenen verzendt, controleert de callback-functie eerst het onderpandsaldo, geeft vervolgens de lening uit als het onderpand voldoende was en wijzigt vervolgens het onderpandsaldo van de gebruiker binnen het slimme contract.
Om het slimme contract voor de gek te houden, sturen hackers de oproep terug naar de terugbelfunctie om dit proces vanaf het begin te starten. Omdat de transactie niet is afgerond op de blockchain, verstrekt de functie een andere lening voor hetzelfde onderpand. Ook al bestaat de oplossing voor dit probleem al lang genoeg, toch worden veel projecten er het slachtoffer van.
Soms besluiten projectteams met weinig vaardigheid in het schrijven van slimme contracten om de codebase van een ander open-source DeFi-project te lenen om hun eigen slimme contract te implementeren. Ze doen dit normaal gesproken met gerenommeerde projecten die zijn gecontroleerd en een grote gebruikersbasis hebben en waarvan is aangetoond dat ze veilig zijn gebouwd. Maar ze kunnen besluiten om kleine wijzigingen aan te brengen in de geleende code om functionaliteiten toe te voegen die ze in hun slimme contract willen hebben, zonder zelfs de originele code te wijzigen. Dit kan de logica van het slimme contract aantasten, wat ontwikkelaars zich vaak niet realiseren.
Dit is wat stond hackers toe om ongeveer $ 19 miljoen te stelen van Cream Finance in augustus 2021. Het Cream Finance-team leende de code van een ander DeFi-protocol en voegde een callback-token toe aan hun slimme contract. Hoewel je re-entry-aanvallen kunt voorkomen door het patroon van "controles, effecten, interacties" te implementeren dat prioriteit geeft aan de verandering van balans boven de uitgifte van fondsen, slagen sommige teams er nog steeds niet in hun platforms te beschermen tegen deze exploits.
Aanvallen met flitsleningen stellen hackers in staat om op een andere manier geld te stelen en zijn sinds de DeFi-boom van 2020 steeds populairder geworden. Het belangrijkste idee van aanvallen met flitsleningen is dat je geen onderpand nodig hebt om geld te lenen van een protocol, omdat financiële pariteit nog steeds gegarandeerd is. door het feit dat de lening binnen één transactie wordt opgenomen en teruggegeven. En het gebeurt niet als u de lening met rente in één transactie niet terugbetaalt. Maar aanvallers hebben op veel protocollen succesvolle flitsleningen kunnen uitvoeren.
Zie ook: Nodig: een enorm educatief project om hacks en oplichting te bestrijden
Door ze te doen, gebruiken ze meerdere protocollen om liquiditeit te lenen en door te slepen tot de laatste handeling, waar ze de prijs van een token via orakels of liquiditeitspools verhogen en het gebruiken om een pump-and-dump op te lichten en weg te gaan met liquiditeit in een array van enkele grote verschillende cryptocurrencies zoals Ether (ETH), Wrapped Bitcoin (wBTC) en anderen. Enkele beroemde aanvallen met flitsleningen zijn onder meer: Pancake Bunny aanval, waar het protocol $ 200 miljoen verloor, en weer een Cream Finance-aanval, waarin meer dan $ 100 miljoen werd gestolen.
Hoe zich te verdedigen tegen DeFi-exploits?
Om een veilig DeFi-protocol te bouwen, zou u idealiter alleen ervaren blockchain-ontwikkelaars moeten vertrouwen. Ze moeten een professionele teamleider hebben met vaardigheid in het bouwen van gedecentraliseerde applicaties. Het is ook verstandig om te onthouden om veilige codebibliotheken te gebruiken voor ontwikkeling. Soms kunnen de minder up-to-date bibliotheken de veiligste optie zijn dan die met de nieuwste codebases.
Testen is een ander cruciaal ding alle serieuze DeFi-projecten moeten voldoen. Als CEO van een auditbedrijf voor slimme contracten probeer ik altijd 100% van de code van onze klanten te dekken en benadruk ik het belang van gedecentraliseerde bescherming van de privésleutels die worden gebruikt om functies van slimme contracten met beperkte toegang aan te roepen. Het is het beste om decentralisatie van de openbare sleutel te gebruiken via een meervoudige handtekening die voorkomt dat één entiteit volledige controle over het contract heeft.
Uiteindelijk is onderwijs een van de sleutels waarmee op blockchain gebaseerde financiële systemen veiliger en betrouwbaarder kunnen worden. En onderwijs zou een van de belangrijkste zorgen moeten zijn van mensen die op zoek zijn naar werk in DeFi, omdat het een verrukkelijke beloning kan bieden aan iedereen die een levensvatbare bijdrage kan leveren.
Dit artikel bevat geen beleggingsadvies of aanbevelingen. Elke investering en handelsbeweging brengt risico's met zich mee, en lezers moeten hun eigen onderzoek doen bij het nemen van een beslissing. De meningen, gedachten en meningen die hier worden uitgedrukt, zijn alleen van de auteur en weerspiegelen niet noodzakelijk de meningen en meningen van Cointelegraph. Dmitri Misjoenin is de oprichter en CEO van DeFi-beveiligings- en analysebedrijf HashEx en heeft jarenlange expertise op het gebied van blockchain-beveiliging. Hij heeft veel tijd gestoken in wetenschappelijke activiteiten, zoals onderzoek naar IT-systemen, blockchain en kwetsbaarheden in DeFi. Onder leiding van Dmitry is HashEx uitgegroeid tot een van de leiders op het gebied van slimme contractaudits. Bron: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi