In de afgelopen jaren zijn honderden nieuwe gedecentraliseerde financiële applicaties en protocollen het Ethereum-netwerk en andere blockchains binnengestroomd. In november 2021 bereikte de totale waarde die in alle DeFi-apps is vergrendeld, maar liefst $ 290 miljard.
DeFi is in theorie ontworpen om de toegang tot financiering te democratiseren door mensen van over de hele wereld, van elke achtergrond, ongeacht wie ze zijn, in staat te stellen deel te nemen. Er zijn geen financiële of geografische beperkingen of gecentraliseerde tussenpersonen - alles is gedecentraliseerd, betrouwbaar en peer-to-peer.
Het is een visie die populair is gebleken, waarbij DeFi sneller groeit dan iemand zich had kunnen voorstellen. De opkomst ervan is echter vertroebeld door tal van kritieke beveiligingsbedreigingen waardoor het een zeer riskante onderneming lijkt voor iedereen die niet extreem goed geïnformeerd is over hoe crypto werkt.
Hoewel 2021 een groot jaar was voor DeFi, was het voor hackers waarschijnlijk nog groter, met een recent rapport van Chainalaysis het vinden van dat ze dat jaar een gecombineerde $ 3.2 miljard aan cryptocurrency hebben gestolen. Dit jaar wordt waarschijnlijk net zo winstgevend voor hackers. Volgens de laatste van CertiK verslag, verloren DeFi en Web3 samen meer dan $ 2 miljard aan hackers in de eerste zes maanden van het jaar.
Chainalysis zei dat hackers in de crypto-sfeer zijn gemigreerd weg van portefeuilles en andere doelen en zich tegenwoordig bijna uitsluitend richten op DeFi-protocollen. In de eerste drie maanden van 2022 kwam bijna 97% van alle door hackers gestolen fondsen van DeFi, een stijging van 72% in 2021 en slechts 30% in 2020. Een snelle blik op enkele van de grootste hacks van dit jaar verklaart waarom DeFi zo'n populair doelwit worden voor aanvallers. De bedragen die ze kunnen stelen zijn enorm. De duurste hack tot nu toe dit jaar was de Ronin Validator-beveiligingsinbreuk. Op 23 maart konden de persoon of personen die verantwoordelijk waren voor de aanval de Ronin- en Axie DAO-validatieknooppunten van Sky NMavis compromitteren, de privésleutels hacken en illegale opnames maken. Ze stalen een ongelooflijke 173,600 ETH en 25.5 miljoen USDC, in totaal $ 615.5 miljoen, via slechts twee transacties.
Helaas was de Ronin-hack niet zomaar een geïsoleerde gebeurtenis. In februari hackers misbruik gemaakt van een beveiligingslek in de handtekeningverificatie van Wormhole, waardoor ze 120,000 wETH op Solana konden verdienen, een bedrag dat op het moment van de aanval $ 326 miljoen waard was. Evenzo, in april, het Beanstalk-protocol slachtoffer geworden tot een vertraging van één dag binnen een $BEAN-governancevoorstelcontract om een flitslening af te ronden. De aanvaller kon 70% van de totale zaden stelen en kwam weg met in totaal $ 181 miljoen.
Smart Contract-kwetsbaarheden opsporen
De overgrote meerderheid van DeFi-hacks vindt plaats vanwege kwetsbaarheden in de slimme contracten die de protocollen aandrijven. Slimme contracten zijn zelfuitvoerende stukjes code die automatisch transacties verwerken wanneer aan bepaalde voorwaarden wordt voldaan. Ze zijn een van de kernelementen van DeFi omdat ze de eis van een vertrouwde tussenpersoon overbodig maken.
Het goede nieuws is dat de gemeenschap zich ervan bewust is dat slimme contracten een flagrante zwakte zijn in DeFi-beveiliging en stappen onderneemt om deze aan te pakken. De meest betrouwbare DeFi-protocollen van vandaag zullen zeker een uitgebreide slimme contractaudit om vast te stellen of er kwetsbaarheden zijn. Audits worden uitgevoerd door betrouwbare bedrijven zoals CertiK en Hacken, en beoordelen de geregistreerde transacties in een blockchain-grootboek om eventuele bugs op te sporen.
Andere manieren om kwetsbaarheden te identificeren zijn onder meer: penetratietesten door teams van beveiligingsexperts, die proberen DeFi-protocollen te hacken, zodat ze de ontwikkelaars kunnen informeren hoe ze het hebben gedaan, zodat ze alle mazen kunnen dichten die worden ontdekt. Bovendien kunnen protocollen ook "bug bounties" bieden, waarbij ze in wezen beveiliging crowdsourcen. Tientallen 'white hat'-hackers strijden om een geldprijs om kwetsbaarheden binnen een protocol te identificeren. Bug premies kan vooral nuttig zijn omdat ze deelnemers stimuleren om zich als echte cybercriminelen te gedragen, wat betekent dat ze waarschijnlijk zullen proberen het protocol te hacken met vergelijkbare methoden als de echte slechteriken. Het idee is dat de goeden alle voor de hand liggende exploits zullen ontdekken voordat ze in de echte wereld worden blootgesteld.
Slimme contractcode-audits en bugbounties kunnen helpen om DeFi-protocollen te beschermen tegen veelvoorkomende hacks rond onverwerkte uitzonderingen en afhankelijkheid van transactieorders. Audits zijn helaas niet onfeilbaar – uit de Chainalaysis-studie bleek dat 30% van de exploits dit jaar plaatsvond op platforms die in de afgelopen 12 maanden waren gecontroleerd. Dus hoewel code-audits en bugbounties nuttig kunnen zijn, bieden ze geen garanties. Als zodanig zouden DeFi-protocollen die miljarden dollars aan gebruikersgeld beheren, een robuustere benadering van beveiliging moeten aannemen.
Slimme contracten opnieuw uitvinden
Een van de meest opwindende oplossingen die naar voren komen, is de Scrypto-programmeertaal die is ontwikkeld door Radix, een laag-1 blockchain-protocol dat speciaal voor DeFi is gebouwd.
De Scrypto-taal is gebaseerd op de populaire Rust-programmeertaal en behoudt de meeste functies. Het voegt echter met name een aantal specifieke functies toe op basis van de Radix Engine. Het kan worden gezien als een verzameling bibliotheken en uitbreidingen van Rust die asset-georiënteerde functies biedt, waardoor Rust-stijl logica kan communiceren met assets als een native, first-class burger.
Het belangrijkste onderscheid van Scrypto is dat het slimme contracten effectief afschaft. In plaats van slimme contracten gebruikt het blauwdrukken en componenten om transacties te verwerken. Blauwdrukken zijn gecompileerde broncode die op de blockchain leeft, waar ze door iedereen kunnen worden gebruikt. Hun rol is om "constructorfuncties" te bieden voor DeFi-transacties, met flexibele parameters die anderen kunnen instantiëren. Ze zijn over het algemeen behoorlijk gespecialiseerd in functionaliteit, hoewel ze meerdere verschillende gebruiksscenario's kunnen ondersteunen, afhankelijk van hoe ze precies zijn geïnstantieerd. Blauwdrukken kunnen soms samenwerken met andere blauwdrukken, samen ingezet als een “pakket”.
Om een blauwdruk te activeren, moet deze worden geïnstantieerd door een van de constructorfuncties aan te roepen om het adres van een nieuw gemaakte instantie te verkrijgen, ook wel een "component" genoemd. Componenten worden gebruikt om de status te beheren en kunnen bronnen verzamelen, vasthouden en distribueren volgens de logica die is gekoppeld aan de blauwdruk die deze heeft gemaakt. Met andere woorden, componenten in Scrypto lijken op slimme contracten, maar ze zijn afgeleid van de logica die is gedefinieerd in de blauwdruk waaruit het is voortgekomen.
Dankzij de unieke architectuur van Scrypto kan het transacties op een heel andere manier uitvoeren dan gewone slimme contracten die in Solidity of een andere taal zijn geschreven. In plaats van een nummer of verwijzing naar sommige tokens te sturen, draagt Radix Engine het eigendom van tokens over van de beller naar een component. Zodra dat onderdeel een emmer met hulpbronnen of meerdere emmers heeft ontvangen, kan het die hulpbronnen nemen en ze in een kluis deponeren, of anders een andere emmer. Vervolgens zorgt de Radix Engine ervoor dat de beller geen toegang meer heeft tot de bucket of kluis.
Het eindresultaat is dat dApps gebouwd op Radix een veel eenvoudigere en veiligere manier van transacties hebben. Om beter te begrijpen hoe het werkt, biedt Radix ons de voorbeeld van een kauwgomballenautomaat die USD-tokens accepteert in ruil voor een token in zijn kluis.
In dit voorbeeld geeft de gebruiker een bucket van 0.25 USD door aan de methode insertCoins van de MyMachine-component. De logica van de blauwdruk ziet dat de juiste prijs is betaald, voegt die tokens toe aan een kluis, neemt vervolgens 1 kauwgombal uit de kauwgomballenkluis en geeft deze terug aan de beller. Het kan zelfs wat wisselgeld terugsturen als de beller te veel USD heeft doorgegeven.
Met op Solidity gebaseerde slimme contracten van Ethereum is het veel complexer en riskanter. In dezelfde machine zou de gebruiker een slim contract bellen om de machine toestemming te geven om namens hen geld op te nemen uit hun portemonnee. Ze zouden de machine vertellen dat ze 0.25 USD willen invoeren. De machine zou dan het USD-contract bellen om de opname te doen en vervolgens een gumball smart contract bellen om de gumball naar de gebruiker te sturen. Ten slotte zou het waarschijnlijk ook een interne cache bijwerken van het aantal resterende kauwgomballen om te controleren op eros. Elk van deze processen maakt gebruik van een slim contract en elk proces loopt daarom het risico te worden gehackt vanwege een kwetsbaarheid in het slimme contract.
Dat is maar een simpel voorbeeld. Met DeFi kunnen transacties vele malen complexer zijn, wat betekent dat ze worden blootgesteld aan meerdere keren het risico. Het enige dat nodig is, is ergens een kwetsbaarheid, in een van de vele slimme contracten die bij een transactie zijn betrokken, zodat een aanvaller een aanval kan uitvoeren.
Conclusie
Naarmate DeFi groeit en de totale waarde ervan toeneemt, zal het risico op uitbuiting alleen maar toenemen. Als er iets is dat we kunnen afleiden uit de verbluffende hoeveelheid crypto die is gestolen door DeFi-hacks, dan is het wel dat de behoefte aan slimme contractbeveiliging nog nooit zo groot is geweest. Hoewel code-audits en bug bounties kunnen helpen om de meest voor de hand liggende kwetsbaarheden in DeFi op te sporen, is het duidelijk dat de industrie enorm kan profiteren van een radicale revisie op basis van een infrastructuur die is ontworpen om het aantal potentiële exploits vanaf het begin te minimaliseren.
Disclaimer: dit artikel is alleen bedoeld voor informatieve doeleinden. Het wordt niet aangeboden en is niet bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies
Bron: https://cryptodaily.co.uk/2022/08/as-defi-hacks-soar-this-startup-wants-to-radically-overhaul-smart-contracts-to-prevent-them