Y dyddiau hyn, mae'r farchnad blockchain yn ei chyfanrwydd yn ei fabandod, ac mae'r cyllid datganoledig (DeFi) farchnad yw ei rhan fwyaf addawol. Yn ôl data DefiLlama, yn 2021, roedd gan y farchnad DeFi tua $ 200 biliwn o hylifedd wedi'i gloi mewn contractau smart. Os edrychwn ar y cyfalaf hwn fel buddsoddiad cychwynnol, mae'r farchnad hon yn edrych fel menter hynod addawol. Ni all gormod o gwmnïau byd-eang ymffrostio mewn cyfalafu o'r fath. Ond mae gan unrhyw farchnad ifanc ei phroblemau cychwynnol. Gyda DeFi, y prif fater yw diffyg datblygwyr blockchain cymwys.
Mae'r diwydiant hwn yn ifanc iawn ac mae ganddo sylfaen defnyddwyr cymharol fach. Mae'r rhan fwyaf o bobl ar y gorau wedi clywed am DeFi heb unrhyw syniad beth ydyw. Ond fel mae'n digwydd gyda phob menter newydd addawol, mae'n gyflym yn creu llawer o ddiddordeb hapfasnachol. Yn anffodus, mae paratoi personél yn cymryd llawer mwy o amser, yn enwedig o ran meysydd gwybodaeth-ddwys fel blockchain a datblygu contractau smart. Mae hyn yn golygu y bydd yn rhaid i rai timau prosiect gyfaddawdu a llogi personél llai profiadol.
Mae'r broblem hon yn anochel yn creu risg gynyddol o fylchau diogelwch yng nghod y prosiectau hyn. Ac yna mae'n rhaid i ni ddelio â'i ganlyniadau mewn cyfalaf defnyddwyr coll. I gael dealltwriaeth gryno yn unig o ba mor fawr yw'r broblem hon, gallaf ddweud bod tua 10% o gyfanswm hylifedd DeFi sydd wedi'i gloi wedi'i ddwyn gan hacwyr. Ni ddylai synnu neb y byddai’n well gan y cyhoedd prif ffrwd gadw draw oddi wrth system ariannol sy’n peri peryglon o’r fath i’w harian.
Cysylltiedig: Sut mae protocolau DeFi yn cael eu hacio?
Sut mae campau DeFi wedi newid yn ddiweddar?
Mae ymosodiadau ar DeFi wedi bod yn canolbwyntio ers amser maith ar ymosodiadau dychwelyd. Gallwn ddwyn i gof yr enwog Hac DAO 2016 a arweiniodd at golli $150 miliwn mewn cyfalaf buddsoddwyr ac a arweiniodd at fforch galed Ethereum. Ers hynny, mae'r bregusrwydd hwn wedi cael ei ecsbloetio lawer gwaith mewn gwahanol gontractau smart.
Mae'r swyddogaeth galw'n ôl yn cael ei defnyddio'n weithredol gan brotocolau benthyca: Mae'n caniatáu i gontractau smart wirio balans cyfochrog defnyddwyr cyn rhoi benthyciad. Mae'r holl broses hon yn digwydd o fewn un trafodiad, sydd wedi rhoi datrysiad i hacwyr ddwyn arian o gontractau smart o'r fath. Pan fyddwch yn anfon cais i fenthyg arian, mae'r swyddogaeth galw'n ôl yn gwirio'r balans cyfochrog yn gyntaf, yna'n rhoi'r benthyciad os oedd y cyfochrog yn ddigonol ac yna'n newid balans cyfochrog y defnyddiwr y tu mewn i'r contract smart.
I dwyllo'r contract smart, mae hacwyr yn dychwelyd yr alwad i'r swyddogaeth galw'n ôl i gychwyn y broses hon o'r dechrau. Gan nad yw'r trafodiad wedi'i gwblhau ar y blockchain, mae'r swyddogaeth yn rhoi benthyciad arall ar gyfer yr un balans cyfochrog. Er bod yr ateb i'r broblem hon wedi bod yn y fan a'r lle yn ddigon hir, mae llawer o brosiectau'n dal i ddioddef.
Weithiau, mae timau prosiect heb lawer o sgil wrth ysgrifennu contractau smart yn penderfynu benthyca cronfa god prosiect DeFi ffynhonnell agored arall i ddefnyddio eu contract smart eu hunain. Maent fel arfer yn gwneud hynny gyda phrosiectau ag enw da sydd wedi'u harchwilio ac sydd â sylfaen defnyddwyr mawr ac sydd wedi'u profi i gael eu hadeiladu'n ddiogel. Ond efallai y byddant yn penderfynu gwneud mân addasiadau i'r cod a fenthycwyd i ychwanegu swyddogaethau y maent am eu cael yn eu contract smart, heb hyd yn oed newid y cod gwreiddiol. Gall hyn niweidio rhesymeg y contract smart, nad yw datblygwyr yn aml yn ei sylweddoli.
Dyma beth caniatáu i hacwyr ddwyn tua $19 miliwn gan Cream Finance ym mis Awst 2021. Benthycodd y tîm Cyllid Hufen y cod o brotocol DeFi gwahanol ac ychwanegu tocyn galw yn ôl yn eu contract smart. Er y gallwch atal ymosodiadau ailfynediad trwy weithredu'r patrwm “gwiriadau, effeithiau, rhyngweithio” sy'n blaenoriaethu newid cydbwysedd dros ddosbarthu arian, mae rhai timau'n dal i fethu â diogelu eu platfformau rhag y campau hyn.
Mae ymosodiadau benthyciad fflach yn caniatáu i hacwyr ddwyn arian yn wahanol ac maent wedi bod yn dod yn fwyfwy poblogaidd ers ffyniant DeFi yn 2020. Prif syniad ymosodiadau benthyciad fflach yw nad oes angen i chi gael arian cyfochrog i fenthyg arian o brotocol oherwydd bod cydraddoldeb ariannol yn dal i gael ei warantu. gan y ffaith bod y benthyciad yn cael ei gymryd a'i ddychwelyd o fewn un trafodiad. Ac ni fydd yn digwydd os byddwch yn methu â dychwelyd y benthyciad gyda llog mewn un trafodiad. Ond mae ymosodwyr wedi gallu perfformio ymosodiadau benthyciad fflach llwyddiannus ar lawer o brotocolau.
Cysylltiedig: Angenrheidiol: Prosiect addysg enfawr i frwydro yn erbyn haciau a sgamiau
Wrth eu gwneud, maent yn defnyddio protocolau lluosog i fenthyca a llusgo hylifedd trwodd hyd at y weithred olaf lle maent yn cynyddu pris tocyn trwy oraclau neu byllau hylifedd a'i ddefnyddio i swindlo pwmp-a-dympio a mynd â hylifedd mewn arae o rai arian cyfred digidol mawr gwahanol fel Ether (ETH), Bitcoin wedi'i lapio (wBTC) ac eraill. Mae rhai ymosodiadau fflach benthyciad enwog yn cynnwys y Ymosodiad Bunny Crempog, lle collodd y protocol $200 miliwn, a ymosodiad arall ar Gyllid Hufen, lle cafodd dros $100 miliwn ei ddwyn.
Sut i amddiffyn yn erbyn campau DeFi?
Er mwyn adeiladu protocol DeFi diogel, yn ddelfrydol, dim ond datblygwyr blockchain profiadol y dylech ymddiried ynddynt. Dylai fod ganddynt arweinydd tîm proffesiynol gyda sgil mewn adeiladu cymwysiadau datganoledig. Mae hefyd yn ddoeth cofio defnyddio llyfrgelloedd cod diogel ar gyfer datblygu. Weithiau, gall y llyfrgelloedd llai diweddar fod yr opsiwn mwyaf diogel na'r rhai sydd â'r seiliau cod mwyaf newydd.
Profi yn peth hollbwysig arall rhaid i bob prosiect DeFi difrifol ei wneud. Fel Prif Swyddog Gweithredol cwmni archwilio contract smart, rwyf bob amser yn ceisio cwmpasu 100% o god ein cleientiaid ac yn pwysleisio pwysigrwydd amddiffyniad datganoledig yr allweddi preifat a ddefnyddir i alw swyddogaethau contractau smart gyda mynediad cyfyngedig. Mae'n well defnyddio datganoli'r allwedd gyhoeddus trwy amllofnod sy'n atal un endid rhag cael rheolaeth lawn dros y contract.
Yn y diwedd, addysg yw un o'r allweddi a fydd yn caniatáu i systemau ariannol sy'n seiliedig ar blockchain ddod yn fwy diogel a dibynadwy. A dylai addysg fod yn un o bryderon allweddol y rhai sy'n chwilio am waith yn DeFi oherwydd gall gynnig gwobrau blasus i bawb sy'n gallu gwneud cyfraniad ymarferol.
Nid yw'r erthygl hon yn cynnwys cyngor nac argymhellion buddsoddi. Mae pob symudiad buddsoddi a masnachu yn cynnwys risg, a dylai darllenwyr gynnal eu hymchwil eu hunain wrth wneud penderfyniad. Barn yr awdur yn unig yw'r safbwyntiau, y meddyliau a'r safbwyntiau a fynegir yma ac nid ydynt o reidrwydd yn adlewyrchu nac yn cynrychioli barn a barn Cointelegraph. Dmitry Mishunin yw sylfaenydd a Phrif Swyddog Gweithredol cwmni diogelwch a dadansoddeg DeFi HashEx ac mae ganddo arbenigedd hirsefydlog ym maes diogelwch blockchain. Mae wedi neilltuo llawer o amser i weithgareddau gwyddonol, megis ymchwil i systemau TG, blockchain, a gwendidau yn DeFi. O dan reolaeth Dmitry, mae HashEx wedi dod yn un o'r arweinwyr ym maes archwiliadau contract smart. Ffynhonnell: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi