Skip to main content

Децентрализованное финансирование (DeFi) никуда не денется, а общая заблокированная стоимость (TVL) превышает 100 миллиардов долларов, что подчеркивает свидетельство веры в эти новые финансовые инструменты. Эти инвестиции будут продолжать расти, но похоже, что с каждым новым рекордом в TVL сообщается об очередной сетевой атаке с астрономическими потерями.

Криптопреступность снизилась на 57% в 2020 году, но количество взломов DeFi резко возросло, что стоило компаниям и инвесторам миллиардов долларов США. Только в марте было совершено несколько атак всего за пять дней, в результате чего Paid Network потеряла 180 миллионов долларов. Позже в мае PancakeBunny потерял более 200 миллионов долларов из-за ссуды.

Ясно, что в текущих протоколах безопасности блокчейнов слишком много лазеек и взломов. От мошенничества до фишинга, безопасность и технологии в этой сфере не так развиты, как можно судить по цифрам. Но есть важные методы, которые могут использовать как разработчики, так и пользователи, чтобы восполнить этот пробел.

Децентрализованные технологии по-прежнему централизованы

Независимо от того, насколько децентрализованным является протокол, основная структура по-прежнему централизована. Если посмотреть на одну из наших основных функций Интернета, записи DNS, каждое доменное имя по-прежнему централизовано — принадлежит правительству, государству или компании, которые имеют высшую власть над доменом и могут отключить его, если захотят.

Пример централизации в рамках децентрализации — смарт-контракты. Те, кто пишет смарт-контракты Ethereum или Binance, имеют последнее слово в том, что находится в коде, и есть способы закодировать гнусные программы, такие как вытягивание коврика, в смарт-контракты.

Во время бума урожайности летом 2020 года мы видели, как появилось много протоколов для получения прибыли от денег, вливаемых в DeFi, и это продолжалось в этом году. В марте TurtleDex провела операцию, которая фактически была бэкдором в смарт-контракте, в результате которого у инвесторов было украдено 2,5 миллиона долларов. Эта преднамеренная функция позволяет разработчикам программировать мошенничество, которое затем выполняется в зависимости от других событий в коде, и TurtleDex — один из многих проектов в этом году, которые запрограммировали «вытягивание коврика».

По теме: урожайность — это мода, но DeFi обещает изменить то, как мы взаимодействуем с деньгами.

Аудиты смарт-контрактов — это хороший способ предотвратить возникновение проблем, но даже в этом случае мы видим случаи, когда разработчики заменяют проверенный смарт-контракт на неаудированный. Случай с Compounder демонстрирует, насколько легко мошенническому проекту получить влияние на известные, уважаемые имена в этой сфере. Они смогли быстро заработать на Harvest Finance и Yearn.finance, прежде чем потрепать своих пользователей и уйти с миллионами долларов в криптовалюте.

Связанный: Аудит по умолчанию для проектов DeFi необходим для роста отрасли

Последние тенденции в взломах

Помимо рывков ковра, существует множество популярных атак, которые могут привести к краху всей компании, если они не будут подготовлены. Атака 51% — когда группа майнеров контролирует более 50% хешрейта майнинга сети, что позволяет им исключать или манипулировать записями транзакций для выполнения двойных расходов или нарушения цепочки блоков — по-прежнему часта. Фиро и Грин недавно пострадали от атак 51%.

Даже некоторые криптовалютные проекты с ведущими размерами рыночной капитализации по-прежнему небезопасны. В феврале сообщалось, что 200 дней транзакций XVG в сети Verge были стерты, что фактически стало «самой глубокой реорганизацией, которая когда-либо происходила в топ-100 криптовалют».

Мы принимаем эти ошибки как часть опыта работы с блокчейном, но какова была бы реакция, если бы то же самое случилось, например, с крупным банком? Скорее всего, будет намного больше заголовков в СМИ и шума со стороны пользователей и клиентов. Эти события остаются в значительной степени незамеченными в криптографии, потому что пользователей меньше, но с недавним бычьим рынком это меняется. Неизбежно, больше внимания будет уделяться безопасности публичных блокчейнов.

Методы предотвращения взлома, например, рывков за ковер

К сожалению для разработчиков, при работе с криптовалютой всегда возможны взломы. Вопрос не в том, как предотвратить взлом, а в том, как снизить вероятность взлома. Некоторые усовершенствования аппаратных кошельков — например, кошелек с мультиподписью Gnosis Safe — являются ключевыми элементами повышения общей безопасности.

Использование кошелька с несколькими подписями позволяет нескольким пользователям хранить ключи от одного и того же кошелька и требует взаимного участия для выполнения действий с учетной записью. Поскольку такой кошелек требует ввода данных от нескольких пользователей для совершения сделок, практически невозможно выполнить извлечение ковра с этим типом хранилища.

Другой способ защиты от выдергивания ковра — это временные замки. Многие децентрализованные приложения используют временные блокировки, поэтому, если разработчик пытается вывести своих пользователей из строя, вы получаете предупреждение о том, что нужно удалить средства, примерно через 12–24 часа.

Такие методы обеспечения безопасности будут способствовать более широкому доверию к DeFi и создавать культуру безопасности, которая будет способствовать развитию нашей отрасли.

Повышение безопасности кошелька в криптографии

Безопасность кошелька в конечном итоге сводится к тому, чтобы разработчики и пользователи применяли более разумные методы. Регулярные проверки безопасности и методы внутренней безопасности могут способствовать повышению безопасности кошельков.

Хотя аудит безопасности является хорошим решением, Uniswap и другие автоматизированные децентрализованные биржи (DEX) на основе маркет-мейкеров не требуют разрешения, поэтому невозможно проводить регулярные аудиты. Лучшая практика — понимать особенности монет «справедливого запуска» — проектов, запускаемых с DEX. Хотя многие из этих проектов имеют высокое качество, известно, что многие из них содержат серьезные уязвимости. Открытый исходный код упрощает для всех самостоятельный аудит и проверку безопасности смарт-контракта, предоставляя пользователям больше инструментов для практики хорошей безопасности.

Может показаться большим подвигом попросить пользователя практиковать хорошую безопасность, но это необходимо, чтобы получить доступ ко многим преимуществам криптовалют и, особенно, DeFi. В традиционных банках за безопасность отвечает банк, но в криптографии безопасность сводится к практике разработчиков и пользователей.

Если вы забыли свой банковский пароль или отправили средства не тому человеку, вы можете связаться со своим банком, чтобы смягчить транзакцию, пока она не будет разрешена. Но в криптографии, если вы потеряете свои ключи или отправите деньги не на тот адрес, резервной копии нет. Одним из многих преимуществ, конечно же, является то, что вам не нужно беспокоиться о том, доступны ли ваши средства в криптовалюте, в то время как банки могут закрыть свои двери и ввести контроль за движением капитала, как это произошло во время банковского кризиса в Греции в 2015 году.

Заключение

Как разработчики, нам необходимо внедрить перекрестную проверку и аудит безопасности, а также возложить ответственность друг на друга за разработку все более эффективных методов обеспечения безопасности.

Пользователи должны рассмотреть возможность применения собственных протоколов безопасности и понять нюансы хранения и возможные сценарии взлома. Хорошей практикой для пассивных держателей криптовалюты является отключение аппаратного кошелька от Интернета или бумажного кошелька, который на 100% отключен и не требует онлайн-синхронизации для каких-либо обновлений прошивки.

Фишинговые атаки, один из первоначальных видов интернет-взломов, по-прежнему распространены и часты. Способ борьбы с попытками фишинга — проверить подлинность отправителя.

Не вводите свои закрытые ключи или исходные фразы на каких-либо веб-сайтах и ​​не отправляйте их кому-либо в общедоступных каналах или прямых переписках. Как правило, вы должны вводить свою seed-фразу только при первоначальной настройке кошелька. Более того, вы должны вводить свою начальную фразу только в том случае, если вам нужно восстановить свой кошелек после того, как вы забыли пароль, вам нужно импортировать существующий кошелек на новое устройство или использовать совместимое программное обеспечение кошелька. Как правило, рекомендуется использовать устройства аппаратного кошелька, которые никогда не будут передавать ваши данные в какое-либо программное обеспечение — во многих случаях нельзя рекомендовать даже надежное приложение или программное обеспечение для кошелька.

По мере того, как мы продолжаем строить нашу новую глобальную (в основном) экономику DeFi, крайне важно повышать безопасность, чтобы широкое распространение и капитал могли продолжать поступать в пространство, чтобы следующее поколение могло получить доступ к новым границам финансовой независимости.

Эта статья не содержит советов или рекомендаций по инвестициям. Каждое инвестиционное и торговое движение сопряжено с риском, и читатели должны проводить собственное исследование при принятии решения.

Взгляды, мысли и мнения, выраженные здесь, принадлежат только автору и не обязательно отражают или отражают взгляды и мнения .

Кадан Штадельманн — разработчик блокчейнов, эксперт по безопасности операций и технический директор Komodo Platform. Его опыт варьируется от работы в сфере безопасности операций в государственном секторе и запуска технологических стартапов до разработки приложений и криптографии. Кадан начал свой путь в технологию блокчейн в 2011 году и присоединился к команде Komodo в 2016 году.

.

Оставить комментарий