התפתחות תעשיית הבלוקצ'יין וכיצד להתגונן מפני התקפות על דיפיי (DeFi)

שוק ה- דיפיי (DeFi) הוא מיזם מבטיח ביותר שבו הבעיה העיקרית הנאבקת היא מחסור במפתחי בלוקצ'יין מוסמכים.

כיום, שוק הבלוקצ'יין בכללותו נמצא בחיתוליו, ושוק הפיננסים המבוזר דיפיי (DeFi) הוא החלק המבטיח ביותר שלו. על פי נתוני DefiLlama, בשנת 2021, בשוק ה- דיפיי (DeFi) היו כ-200 מיליארד דולר של נזילות נעולה בחוזים חכמים. אם אנחנו רואים את ההון הזה כהשקעה ראשונית, השוק הזה נראה כמו מיזם מבטיח מאוד. לא יותר מדי חברות גלובליות יכולות להתפאר בהיוון כזה. אבל לכל שוק צעיר יש את בעיות בקיעת השיניים שלו. עם DeFi, הבעיה העיקרית היא היעדר מפתחי בלוקצ'יין מוסמכים.

תעשייה זו צעירה מאוד ויש לה בסיס משתמשים קטן יחסית. רוב האנשים שמעו במקרה הטוב על DeFi בלי שיהיה להם מושג מה זה. אבל כפי שזה קורה עם כל מיזם מבטיח חדש, זה יוצר במהירות הרבה עניין ספקולטיבי. למרבה הצער, גיוס כוח אדם לוקחת הרבה יותר זמן, במיוחד כשמדובר בתחומים עתירי ידע כמו בלוקצ'יין ופיתוח חוזים חכמים. משמעות הדבר היא שחלק מצוותי הפרויקט יצטרכו להתפשר ולהעסיק כוח אדם פחות מנוסה.

קשור: הסבר מלא: יצירת הכנסה פסיבית דרך דיפיי (DeFi)

בעיה זו יוצרת בהכרח סיכון הולך וגובר לפרצות אבטחה בקוד של פרויקטים אלה. ואז אנחנו צריכים להתמודד עם ההשלכות שלה על הון אבוד. להבנה קצרה של גודל הבעיה הזו, אפשר לומר שכ-10% מכלל הנזילות של DeFi שננעלה נגנבה על ידי האקרים. זה מפתיע אף אחד שציבור המיינסטרים יעדיף להתרחק ממערכת פיננסית שמציבה סכנות כאלה לכספים שלהם.

כיצד השתנו לאחרונה התקפות ה- דיפיי (DeFi)?

ההתקפות על DeFi התרכזו זה מכבר סביב התקפות כניסה חוזרת. אנחנו יכולים להיזכר בפריצה המפורסמת של ה-DAO ב-2016 שגרמה לאובדן של 150 מיליון דולר בהון המשקיעים והובילה לפיצול הקשה של את'ריום. מאז, פגיעות זו נוצלה פעמים רבות בחוזים חכמים שונים.

פונקציית ה-callback מנוצלת באופן פעיל על ידי פרוטוקולי הלוואות: היא מאפשרת לחוזים חכמים לבדוק את יתרת הביטחונות של המשתמשים לפני מתן הלוואה. כל התהליך הזה קורה בתוך עסקה אחת, מה שנתן להאקרים דרך לעקוף לגנוב כסף מחוזים חכמים כאלה. כאשר אתה שולח בקשה ללוות כספים, פונקציית ה- callback בודקת תחילה את יתרת הבטוחה, לאחר מכן נותנת את ההלוואה אם הביטחונות הספיקו ולאחר מכן משנה את יתרת הבטוחה של המשתמש בתוך החוזה החכם.

כדי להטעות את החוזה החכם, האקרים מחזירים את השיחה לפונקציית השיחה החוזרת כדי ליזום את התהליך הזה מההתחלה. מכיוון שהעסקה לא הושלמה בבלוקצ'יין, הפונקציה נותנת הלוואה נוספת עבור אותה יתרת בטחונות. למרות שהפתרון לבעיה זו נמצא בזירה מספיק זמן, פרויקטים רבים עדיין נופלים קורבן לה.

לפעמים, צוותי פרויקטים עם מיומנות מועטה בכתיבת חוזים חכמים מחליטים לשאול את בסיס הקוד של פרויקט DeFi קוד פתוח אחר כדי לפרוס חוזה חכם משלהם. הם בדרך כלל עושים זאת עם פרויקטים מכובדים שעברו ביקורת ויש להם בסיסי משתמשים גדולים והוכיחו שהם בנויים בצורה מאובטחת. אבל הם עשויים להחליט לבצע שינויים קלים בקוד המושאל כדי להוסיף פונקציות שהם רוצים שיהיו להם בחוזה החכם שלהם, אפילו בלי לשנות את הקוד המקורי. זה יכול לפגוע בהיגיון של החוזה החכם, אשר מפתחים לעתים קרובות לא מבינים.

זה מה שאיפשר להאקרים לגנוב כ-19 מיליון דולר מ-Cream Finance באוגוסט 2021. צוות Cream Finance השאיל את הקוד מפרוטוקול DeFi אחר והוסיף אסימון callback בחוזה החכם שלהם. למרות שאתה יכול למנוע התקפות כניסה חוזרת על ידי יישום דפוס "איזונים, אפקטים, אינטראקציות" שמתעדף את שינוי האיזון על פני הנפקת כספים, צוותים מסוימים עדיין לא מצליחים להגן על הפלטפורמות שלהם מפני מתקפות אלה.

מתקפת הלוואות פלאש מאפשרות להאקרים לגנוב כספים באופן שונה והולכות וצוברות פופולריות יותר ויותר מאז פריחת ה-DeFi של 2020. הרעיון המרכזי של התקפות הלוואת הבזק הוא שאתה לא צריך בטחונות כדי ללוות כספים מפרוטוקול כי שוויון פיננסי עדיין מובטח על ידי העובדה כי ההלוואה נלקחת ומוחזרת בתוך עסקה אחת. וזה לא יתקיים אם לא תצליח להחזיר את ההלוואה עם ריבית בעסקה אחת. אבל התוקפים הצליחו לבצע התקפות הלוואות פלאש מוצלחות על לא מעט פרוטוקולים.

בעשותם אותם, הם משתמשים בספר פרוטוקולים כדי ללוות ולגרור נזילות עד לפעולה הסופית שבה הם מגבירים את מחיר האסימון דרך אורקלים או מאגרי נזילות ומשתמשים בו כדי להונות דרך פאמפ אנד דאמפ ולהיעלם עם נזילות במערך במטבעות קריפטו שונים עיקריים כגון אתריום (ETH), ביטקוין / (wBTC) ואחרים. כמה מהתקפות הלוואות פלאש מפורסמות כוללות את מתקפת הפנקייק באני, שבה הפרוטוקול הפסיד 200 מיליון דולר, ומתקפה נוספת של Cream Finance, שבה נגנבו יותר מ-100 מיליון דולר.

קשור: אנליסטים: אלו הם 3 הפגמים שפגעו בשוק ה- דיפיי – DeFi

כיצד להתגונן מפני התקפות על DeFi?

כדי לבנות פרוטוקול DeFi מאובטח, באופן אידיאלי, עליך לסמוך רק על מפתחי בלוקצ'יין מנוסים. הם צריכים להיות צוות מקצועי עם מיומנות בבניית יישומים מבוזרים. כדאי גם לזכור להשתמש בספריות קוד בטוח לפיתוח. לפעמים, הספריות הפחות מעודכנות יכולות להיות האפשרות הבטוחה ביותר מאשר אלה עם בסיסי הקוד החדשים ביותר.

בדיקה היא דבר מכריע נוסף שכל הפרויקטים הרציניים של DeFi חייבים לעשות. נסה לכסות 100% מהקוד של הלקוחות שלך ולהדגיש את החשיבות של הגנה מבוזרת על המפתחות הפרטיים המשמשים להתקשרות לפונקציות של חוזים חכמים עם גישה מוגבלת. עדיף להשתמש בביזור של המפתח הציבורי באמצעות multisignature שמונע מישות אחת לקבל שליטה מלאה על החוזה.

בסופו של דבר, חינוך הוא אחד המפתחות שיאפשרו למערכות פיננסיות מבוססות בלוקצ'יין להפוך למאובטחות ואמינות יותר. וחינוך צריך להיות אחד החששות המרכזיים של אלה המחפשים עבודה ב- DeFi מכיוון שהוא יכול להציע תגמולים מעוררי תיאבון לכל מי שיכול לתרום תרומה בת קיימא.

אנו לא יועצים פיננסים! יש לעשות מחקר עצמאי קודם לכן, מסחר והשקעה בקריפטו כרוך בסיכון רב!

השאר תגובה

אתר זה עושה שימוש באקיזמט למניעת הודעות זבל. לחצו כאן כדי ללמוד איך נתוני התגובה שלכם מעובדים.

. $קורס מסחר בכתובת אינטרנט (דומיין) - לייצר הכנסה ענקית בהשקעה של 3 דולר$ לפרטים<--