Децентрализованные финансы (DeFi) здесь, чтобы жить с общей заблокированной стоимостью (TVL) более 100 миллиардов долларов, что подчеркивает вотум доверия к этим новым финансовым инструментам. Эти инвестиции будут продолжать расти, но, похоже, на каждый новый рекорд TVL приходится еще одна кибератака с ужасающим ущербом.

В 57 году криптовалюта упала на 2020%, но атаки DeFi резко возросли, что стоило предприятиям и инвесторам миллиардных убытков. Только в марте всего за 5 дней произошло несколько атак, в результате которых Paid Network потеряла 180 миллионов долларов. В конце мая PancakeBunny потерял более 200 миллионов долларов из-за эксплойта с флэш-кредитом.

Понятно, что в текущих протоколах безопасности блокчейна слишком много лазеек и лазеек. От передергивания ковров до мошеннических мошенничеств, безопасность и технологии этого места не так совершенны, как предполагают цифры. Однако существуют важные методы, которые разработчики и пользователи могут использовать, чтобы заполнить этот пробел.

Децентрализованные технологии по-прежнему централизованы

Независимо от того, насколько децентрализован протокол, базовая структура по-прежнему централизована. Взгляните на одну из наших самых важных интернет-функций — записи DNS. Каждое доменное имя по-прежнему принадлежит централизованно – правительству, штату или компании, которая имеет окончательную власть над доменом и может деактивировать его при желании.

Одним из примеров централизации в децентрализации являются смарт-контракты. Последнее слово в отношении того, что находится в коде, остается за авторами смарт-контрактов в Ethereum или Binance, и существуют способы закодировать гнусные схемы, такие как перетягивание ковров, в смарт-контракты.

Во время бума производительных ферм летом 2020 года мы увидели, как появилось много журналов, которые использовали деньги, поступающие в DeFi, и в этом году это продолжается. В марте TurtleDex провела кражу ковра, которая на самом деле является лазейкой в ​​смарт-контракте, в результате чего у инвесторов было украдено 2.5 миллиона долларов. Эта предполагаемая функция позволяет разработчикам программировать читы, которые затем выполняются в ответ на другие события в коде, и TurtleDex — один из нескольких проектов в этом году, которые программно сломали ковер.

Связанный: Прибыль у всех на слуху, но DeFi обещает изменить то, как мы обращаемся с деньгами

Аудит смарт-контрактов — отличный способ предотвратить ковровое покрытие, но даже в этом случае мы видим случаи, когда разработчики передают проверенный смарт-контракт непроверенному. Дело Compounder демонстрирует мошеннический проект, который легко завоевывает репутацию известных и авторитетных имен в комнате. Они смогли быстро воспользоваться преимуществами Harvest Finance и Yearn.finance, прежде чем натянули ковер на своих пользователей и ушли с миллионами долларов в криптовалюте.

Связанный: Стандартный аудит DeFi-проектов необходим для развития отрасли

Текущие тенденции взлома

Помимо выдергивания ковров, существует множество распространенных атак, которые, если не подготовиться, могут опрокинуть всю компанию. Атака 51% – то есть, когда пул майнеров контролирует более 50% хешрейта майнинга в сети и позволяет им блокировать или манипулировать записями транзакций, чтобы удвоить расходы или разорвать цепочку блоков – все еще часто происходит раньше. Фиро и Грин в последнее время пострадали от 51% атак.

Даже некоторые криптопроекты с максимальной капитализацией небезопасны. В феврале сообщалось, что 200 дней торговли XVG в сети Verge были удалены, что буквально является «самым важным событием за всю историю топ-100 криптовалют».

Мы принимаем эти ошибки как часть опыта блокчейна, но какова была бы реакция, если бы то же самое произошло, например, с крупным банком? Вероятно, будет много заголовков в СМИ и буря негодования среди пользователей и клиентов. Эти события остаются практически незамеченными в криптовалюте, поскольку пользователей становится меньше, но с недавним бычьим рынком ситуация меняется. Неизбежно безопасность публичных блокчейнов подвергается более строгому контролю.

Методы предотвращения взлома, такие как выдергивание ковров

К сожалению, взлом всегда возможен для разработчиков, работающих в криптопространстве. Вопрос не в том, как предотвратить взлом, а в том, как не дать себя взломать. Некоторые достижения в области аппаратных кошельков, такие как мультиподписной кошелек Gnosis Safe, являются ключевыми факторами повышения общей безопасности.

Использование кошелька с мультиподписью позволяет нескольким пользователям хранить ключи от одного кошелька и требует участия обоих для выполнения действий с учетной записью. Поскольку для проведения транзакции такой кошелек требует ввода нескольких пользователей, с сейфом такого типа практически невозможно тянуть ковры.

Еще один метод безопасности, позволяющий предотвратить выдергивание ковров, — это временные замки. Многие децентрализованные приложения используют таймауты, поэтому, если разработчик попытается привлечь своих пользователей, вы получите предупреждение примерно через 12–24 часа о необходимости очистить монеты.

Подобные меры безопасности будут способствовать более широкому доверию к DeFi и создадут культуру безопасности, которая будет способствовать развитию нашей отрасли.

Улучшена безопасность криптокошелька.

Безопасность кошелька в конечном итоге зависит от разработчиков и пользователей, которые используют более разумные методы. Регулярные проверки безопасности и методы внутренней безопасности могут помочь сделать кошельки более безопасными.

Хотя проверки безопасности являются хорошим решением, Uniswap и другие автоматизированные децентрализованные биржи на базе маркет-мейкеров (DEX) не допускаются, поэтому периодические проверки выполнять нельзя. Лучше всего понять специфику «честного запуска» монет – проектов, запускаемых с DEX. Хотя многие из этих проектов отличаются высоким качеством, многие из них известны как отличные исполнители. Открытый исходный код позволяет каждому легко протестировать и убедиться в безопасности смарт-контракта, а также предоставляет пользователям больше инструментов для обеспечения хорошей безопасности.

Просьба к пользователям обеспечить хорошую безопасность может показаться огромным подвигом, но это необходимо для доступа ко многим преимуществам криптовалют и DeFi в частности. В традиционных банках за безопасность отвечает банк, но в случае с криптовалютой безопасность зависит от действий разработчиков и пользователей.

Если вы забыли свой банковский пароль или отправили деньги не тому человеку, вы можете связаться со своим банком, чтобы смягчить транзакцию до тех пор, пока она не будет решена. Но в криптовалюте нет резервного варианта, если вы потеряете ключ или отправите деньги не на тот адрес. Одним из преимуществ, конечно же, является то, что вам не нужно беспокоиться о том, что ваши средства будут доступны в криптовалюте, в то время как банки могут закрыться и ввести контроль над капиталом, как это произошло во время банковского кризиса в Греции в 2015 году.

Заключение

Как разработчикам, нам необходимо проводить тестирование безопасности и перекрестную проверку, а также привлекать друг друга к ответственности за разработку улучшенных методов обеспечения безопасности.

Пользователям следует рассмотреть возможность внедрения собственных протоколов безопасности и понимания нюансов хранения и потенциальных сценариев атак. Хорошей практикой для пассивных держателей криптовалюты является отключение аппаратных кошельков от Интернета или бумажных кошельков, которые на 100% отключены от сети и не требуют онлайн-синхронизации для обновлений прошивки.

Фишинговые атаки, одна из первых форм интернет-атак, по-прежнему широко распространены и распространены. Одним из способов борьбы с попытками фишинга является проверка подлинности отправителя.

Не вводите свои секретные ключи или начальные фразы на каком-либо веб-сайте и не отправляйте их кому-либо по общедоступным каналам или в личных сообщениях. Как правило, вам следует вводить исходную фразу только при первой настройке кошелька. Кроме того, вам следует вводить исходную фразу только в том случае, если вам нужно восстановить свой кошелек после того, как вы забыли пароль, импортировать существующий кошелек на новое устройство или использовать совместимое программное обеспечение кошелька. В общем, вам следует использовать устройства аппаратного кошелька, которые никогда не передадут ваши начальные данные никакому типу программного обеспечения — даже надежное приложение или программное обеспечение кошелька не может быть взломано.

Поскольку мы продолжаем строить нашу новую (в основном) глобальную экономику DeFi, будет важно улучшить безопасность, чтобы всеобщее признание и капитал могли продолжать вливаться в космос, чтобы следующее поколение могло достичь новых границ финансовой независимости.