Dros yr ychydig flynyddoedd diwethaf, mae cannoedd o gymwysiadau a phrotocolau cyllid datganoledig newydd wedi gorlifo i rwydwaith Ethereum a blockchains eraill. Ym mis Tachwedd 2021, cyrhaeddodd cyfanswm y gwerth sydd wedi'i gloi ym mhob ap DeFi $290 biliwn syfrdanol.
Mae DeFi, mewn egwyddor, wedi'i gynllunio i ddemocrateiddio mynediad at gyllid trwy alluogi pobl o bob rhan o'r byd, o unrhyw gefndir, ni waeth pwy ydyn nhw, i gymryd rhan. Nid oes unrhyw gyfyngiadau ariannol na daearyddol na chyfryngwyr canolog - mae popeth yn ddatganoledig, yn ddi-ymddiriedaeth, ac yn gymar-i-gymar.
Mae'n weledigaeth sydd wedi bod yn boblogaidd, gyda DeFi yn tyfu'n gyflymach nag y gallai unrhyw un fod wedi'i ddychmygu. Fodd bynnag, mae ei gynnydd wedi'i gymylu gan nifer o fygythiadau diogelwch critigol sy'n ei gwneud yn ymddangos yn fenter beryglus iawn i unrhyw un nad yw'n hynod wybodus am sut mae crypto yn gweithio.
Er bod 2021 yn flwyddyn fawr i DeFi, gellid dadlau ei bod hyd yn oed yn fwy i hacwyr, gydag adroddiad diweddar gan Chainalaysis dod o hyd i eu bod wedi dwyn gwerth cyfunol o $3.2 biliwn o arian cyfred digidol y flwyddyn honno. Mae eleni yn debygol o fod yr un mor broffidiol i hacwyr. Yn ol y diweddaraf gan CertiK adrodd, Collodd DeFi a Web3 gyda'i gilydd fwy na $2 biliwn i hacwyr yn ystod chwe mis cyntaf y flwyddyn.
Dywedodd Chainalysis fod hacwyr yn y maes crypto wedi mudo i ffwrdd o waledi a thargedau eraill, ac maent bron yn gyfan gwbl yn targedu protocolau DeFi heddiw. Yn ystod tri mis cyntaf 2022, daeth bron i 97% o'r holl arian a gafodd ei ddwyn gan hacwyr o DeFi, i fyny o 72% yn 2021 a dim ond 30% yn 2020. Mae golwg gyflym ar rai o haciau mwyaf eleni yn esbonio pam mae DeFi wedi dod yn darged mor boblogaidd i ymosodwyr. Mae'r symiau y gallant eu dwyn yn aruthrol. Yr hac drytaf hyd yn hyn eleni oedd y Ronin Validator Torri Diogelwch. Ar Fawrth 23, llwyddodd y person neu'r personau a oedd yn gyfrifol am yr ymosodiad i gyfaddawdu nodau dilyswr Ronin ac Axie DAO Sky NMavis, hacio'r allweddi preifat a thynnu arian yn ôl yn anghyfreithlon. Fe wnaethant ddwyn swm anhygoel o 173,600 ETH a 25.5 miliwn o USDC, sef cyfanswm o $615.5 miliwn, trwy ddim ond dau drafodiad.
Yn anffodus, nid digwyddiad ynysig yn unig oedd darnia Ronin. Ym mis Chwefror hacwyr manteisio ar fregusrwydd diogelwch yn dilysu llofnod Wormhole, gan eu galluogi i wneud i ffwrdd â 120,000 wETH ar Solana, swm a oedd yn werth $326 miliwn ar adeg yr ymosodiad. Yn yr un modd, ym mis Ebrill, protocol y Goeden Ffa syrthiodd yn ddioddefwr i oedi undydd o fewn contract cynnig llywodraethu $BEAN i gwblhau benthyciad fflach. Llwyddodd yr ymosodwr i ddwyn 70% o gyfanswm yr hadau, gan ddianc gyda chyfanswm o $181 miliwn.
Canfod Gwendidau Contract Smart
Mae mwyafrif helaeth yr haciau DeFi yn digwydd oherwydd gwendidau yn y contractau smart sy'n pweru'r protocolau. Mae contractau clyfar yn ddarnau o god hunanweithredol sy'n prosesu trafodion yn awtomatig pan fodlonir amodau penodol. Maent yn un o elfennau craidd DeFi gan eu bod yn gwneud y gofyniad am gyfryngwr y gellir ymddiried ynddo yn ddi-waith.
Y newyddion da yw bod y gymuned yn ymwybodol bod contractau smart yn wendid amlwg yn niogelwch DeFi ac yn cymryd camau i fynd i'r afael â nhw. Mae'r protocolau DeFi mwyaf dibynadwy heddiw yn sicr o gynnal cynhwysfawr archwiliad contract smart i nodi a oes unrhyw wendidau yn bodoli. Mae archwiliadau'n cael eu cynnal gan gwmnïau dibynadwy fel CertiK a Hacken, ac yn asesu'r trafodion a gofnodwyd o fewn cyfriflyfr blockchain i geisio canfod unrhyw fygiau.
Mae ffyrdd eraill o nodi gwendidau yn cynnwys profion treiddiad gan dimau o arbenigwyr diogelwch, sy'n ceisio hacio protocolau DeFi fel y gallant hysbysu'r datblygwyr sut y gwnaethant hynny, gan ganiatáu iddynt gau pa bynnag fylchau a ddarganfyddir. Yn ogystal, gall protocolau hefyd gynnig “bounties byg”, lle maent yn y bôn yn diogelu torfol. Mae dwsinau o hacwyr “het wen” yn cystadlu am wobr ariannol i nodi gwendidau o fewn protocol. Bounties byg Gall fod yn arbennig o fuddiol oherwydd eu bod yn cymell cyfranogwyr i ymddwyn fel seiberdroseddwyr go iawn, sy'n golygu y byddant yn debygol o geisio hacio'r protocol gan ddefnyddio dulliau tebyg i'r dynion drwg go iawn. Y syniad yw y bydd y dynion da yn darganfod unrhyw gampau amlwg cyn iddynt ddod i'r amlwg yn y byd go iawn.
Gall archwiliadau cod contract clyfar a bounties bygiau helpu i amddiffyn protocolau DeFi rhag haciau cyffredin o amgylch eithriadau heb eu trin a dibyniaeth ar orchymyn trafodion. Fodd bynnag, yn anffodus, nid yw archwiliadau yn anffaeledig - canfu astudiaeth Chainalaysis fod 30% o'r campau eleni wedi digwydd ar lwyfannau a archwiliwyd yn ystod y 12 mis diwethaf. Felly er y gall archwiliadau cod a bounties bygiau fod yn ddefnyddiol, nid ydynt yn darparu unrhyw warantau. O'r herwydd, dylai protocolau DeFi sy'n rheoli biliynau o ddoleri mewn cronfeydd defnyddwyr fabwysiadu agwedd fwy cadarn at ddiogelwch.
Ailddyfeisio Contractau Clyfar
Un o'r atebion mwyaf cyffrous i ddod i'r amlwg yw'r iaith raglennu Scrypto a ddatblygwyd gan radix, sef protocol blockchain haen-1 sydd wedi'i adeiladu'n benodol ar gyfer DeFi.
Mae adroddiadau Iaith Scrypto yn seiliedig ar yr iaith raglennu Rust boblogaidd ac yn cadw'r rhan fwyaf o'i nodweddion. Fodd bynnag, mae'n ychwanegu'n arbennig nifer o swyddogaethau penodol yn seiliedig ar y Radix Engine. Gellir ei feddwl fel casgliad o lyfrgelloedd ac estyniadau i Rust sy'n darparu nodweddion sy'n canolbwyntio ar asedau, gan alluogi rhesymeg arddull Rust i ryngweithio ag asedau fel dinesydd brodorol, o'r radd flaenaf.
Gwahaniaeth pwysicaf Scrypto yw ei fod i bob pwrpas yn dileu contractau smart. Yn lle contractau smart, mae'n defnyddio glasbrintiau a chydrannau i brosesu trafodion. Mae glasbrintiau yn god ffynhonnell sy'n byw ar y blockchain, lle gall unrhyw un eu defnyddio. Eu rôl yw darparu “swyddogaethau adeiladwr” ar gyfer trafodion DeFi, gyda pharamedrau hyblyg y gall eraill eu gosod ar unwaith. Yn gyffredinol, maent yn eithaf arbenigol o ran ymarferoldeb, er y gallant gefnogi nifer o achosion defnydd gwahanol yn dibynnu ar sut yn union y cânt eu rhoi ar waith. Weithiau gall glasbrintiau weithio gyda glasbrintiau eraill, a’u defnyddio gyda’i gilydd fel “pecyn”.
Er mwyn actifadu glasbrint, rhaid ei gychwyn trwy alw un o'i swyddogaethau lluniwr er mwyn cael cyfeiriad enghraifft newydd, a elwir yn “gydran”. Defnyddir cydrannau i reoli cyflwr a gallant gasglu, dal a dosbarthu adnoddau yn unol â'r rhesymeg sy'n gysylltiedig â'r glasbrint a'i creodd. Mewn geiriau eraill, mae cydrannau yn Scrypto yn debyg i gontractau smart, fodd bynnag, maent yn deillio o'r rhesymeg a ddiffinnir yn y glasbrint a roddodd enedigaeth iddo.
Mae pensaernïaeth unigryw Scrypto yn caniatáu iddo gyflawni trafodion mewn ffordd wahanol iawn i gontractau smart rheolaidd a ysgrifennwyd yn Solidity neu iaith arall. Yn lle anfon rhif neu gyfeiriad at rai tocynnau, mae Radix Engine yn trosglwyddo perchnogaeth tocynnau o'r galwr i gydran. Unwaith y bydd y gydran honno'n derbyn bwced o adnoddau neu fwcedi lluosog, gall gymryd yr adnoddau hynny a'u hadneuo i gladdgell sydd ganddo, neu fel arall bwced arall. Yna, mae'r Radix Engine yn sicrhau na all y galwr gael mynediad i'r bwced na'r gladdgell mwyach.
Y canlyniad yn y pen draw yw bod gan dApps a adeiladwyd ar Radix ffordd lawer symlach a mwy diogel o drafodion. Er mwyn deall yn well sut mae'n gweithio, mae Radix yn cynnig y enghraifft o beiriant gumball sy'n derbyn tocynnau USD yn gyfnewid am docyn a gedwir yn ei gladdgell.
Yn yr enghraifft hon, mae'r defnyddiwr yn pasio bwced o 0.25 USD i'r dull insertCoins o'r gydran MyMachine. Mae rhesymeg y glasbrint yn gweld bod y pris cywir wedi'i dalu, yn ychwanegu'r tocynnau hynny at gladdgell, yna'n cymryd 1 gwmball o'i gladdgell gumball a'i drosglwyddo'n ôl i'r galwr. Gall hyd yn oed anfon rhywfaint o newid yn ôl pe bai'r galwr wedi pasio gormod o USD.
Gyda chontractau smart sy'n seiliedig ar Solidity Ethereum mae'n llawer mwy cymhleth a llawn risg. Yn yr un peiriant, byddai'r defnyddiwr yn galw contract smart i roi caniatâd i'r peiriant dynnu'n ôl o'u waled ar eu rhan. Byddent yn dweud wrth y peiriant eu bod am fewnbynnu 0.25 USD. Yna byddai'r peiriant yn galw'r contract USD i wneud y tynnu'n ôl, yna ffoniwch gontract smart gumball i anfon y gumball at y defnyddiwr. Yn olaf, mae'n debyg y byddai hefyd yn diweddaru storfa fewnol o nifer y peli gum sy'n weddill i wirio am eros. Mae pob un o'r prosesau hyn yn defnyddio contract smart, ac mae pob un felly mewn perygl o gael ei hacio oherwydd bregusrwydd contract smart.
Dim ond enghraifft syml yw hynny. Gyda DeFi, gall trafodion fod yn llawer mwy cymhleth, sy'n golygu eu bod yn agored i sawl gwaith y risg. Y cyfan sydd ei angen yw un bregusrwydd yn rhywle, mewn unrhyw un o nifer o gontractau smart sy'n ymwneud â thrafodiad, i ymosodwr ddileu ymosodiad.
Casgliad
Wrth i DeFi dyfu ac wrth i gyfanswm ei werth sydd wedi'i gloi gynyddu, bydd y risg o gamfanteisio ond yn cynyddu. Os oes un tecawê y gallwn ei gasglu o'r swm syfrdanol o crypto sydd wedi'i ddwyn gan haciau DeFi, nid yw'r angen am ddiogelwch contract smart erioed wedi bod yn fwy. Er y gall archwiliadau cod a thocynnau bygiau helpu i weld y gwendidau mwyaf amlwg yn DeFi, mae'n amlwg y gallai'r diwydiant elwa'n anfesuradwy o ailwampio radical yn seiliedig ar seilwaith sydd wedi'i gynllunio i leihau nifer y manteision posibl o'r cychwyn.
Ymwadiad: Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall
Ffynhonnell: https://cryptodaily.co.uk/2022/08/as-defi-hacks-soar-this-startup-wants-to-radically-overhaul-smart-contracts-to-prevent-them