Y tueddiadau diweddaraf mewn ymosodiadau haciwr a sut i ddelio â nhw

Wrth i'r sector DeFi barhau i ddenu arian a defnyddwyr, mae actorion drwg o bob rhan o'r byd yn parhau i'w weld fel targed deniadol sy'n aeddfed i'w gasglu ac wedi'i warchod yn wael.

Dros y misoedd diwethaf, rwyf wedi bod yn cadw golwg ar rai o orchestion mwyaf nodedig protocolau DeFi, ac mae'n ymddangos bod o leiaf saith ohonynt yn ganlyniad i ddiffygion contract smart yn unig.

Er enghraifft, tarodd hacwyr a lladrata Wormhole, gan ddwyn dros $300 miliwn, Qubit Finance ($ 80 miliwn), Meter ($ 4.4 miliwn), Deus ($ 3 miliwn), TreasureDAO (dros 100 NFTs), ac yn olaf, Agave and Hundred Finance sydd, gyda'i gilydd , wedi colli cyfanswm o $11 miliwn. Arweiniodd pob un o'r ymosodiadau hyn at ddwyn symiau eithaf sylweddol o arian, gan achosi difrod mawr i'r prosiectau.

Mae llawer o'r protocolau wedi'u targedu wedi gweld gostyngiad yng ngwerth eu arian cyfred digidol, diffyg ymddiriedaeth gan ddefnyddwyr, beirniadaeth ynghylch diogelwch DeFi a chontractau smart, a chanlyniadau negyddol tebyg.

Pa fathau o orchestion a ddigwyddodd yn ystod yr ymosodiadau?

Yn naturiol, mae pob un o'r achosion hyn yn unigryw, a defnyddiwyd gwahanol fathau o gampau i fynd i'r afael â phob prosiect unigol, yn dibynnu ar eu gwendidau a'u gwendidau. Mae enghreifftiau yn cynnwys gwallau rhesymeg, ymosodiadau reentrancy, ymosodiadau fflach-fenthyciad gyda thrin prisiau, a mwy. Credaf fod hyn o ganlyniad i brotocolau DeFi yn dod yn fwy cymhleth, ac fel y maent, mae cymhlethdod y cod yn ei gwneud hi'n fwyfwy anodd clirio'r holl ddiffygion.

Ar ben hynny, sylwais ar ddau beth wrth ddadansoddi pob un o'r digwyddiadau hyn. Yr un cyntaf yw bod hacwyr wedi llwyddo i ddianc â symiau enfawr bob tro - gwerth miliynau o ddoleri mewn crypto.

Mae'r “diwrnod cyflog” hwn yn rhoi cymhelliant i hacwyr dreulio unrhyw amser sydd ei angen yn astudio'r protocolau, hyd yn oed fisoedd ar y tro, gan eu bod yn gwybod y bydd y wobr yn werth chweil. Mae hynny'n golygu bod hacwyr yn cael eu cymell i dreulio llawer mwy o amser yn chwilio am ddiffygion na'r archwilwyr.

Yr ail beth a oedd yn amlwg yw bod yr haciau, mewn rhai achosion, yn hynod o syml mewn gwirionedd. Cymerwch yr ymosodiad Hundred Finance fel enghraifft. Cafodd y prosiect ei daro gan ddefnyddio byg adnabyddus y gellir ei ddarganfod yn nodweddiadol mewn ffyrc cyfansawdd os ychwanegir tocyn at y protocol. Y cyfan y mae angen i'r haciwr ei wneud yw aros nes bod un o'r tocynnau hyn yn cael ei ychwanegu at y Hundred Finance. Ar ôl hynny, y cyfan sydd ei angen yw dilyn ychydig o gamau syml i ddefnyddio'r camfanteisio i gyrraedd yr arian.

Beth all prosiectau DeFi ei wneud i amddiffyn eu hunain?

Wrth symud ymlaen, y peth gorau y gall y prosiectau hyn ei wneud i amddiffyn eu hunain rhag actorion drwg yw canolbwyntio ar yr archwiliadau. Po fwyaf manwl, gorau oll, a gynhelir gan weithwyr proffesiynol profiadol sy'n gwybod beth i roi sylw iddo. Ond, mae yna beth arall y gall y prosiectau ei wneud, hyd yn oed cyn troi at yr archwiliadau, sef sicrhau bod ganddyn nhw bensaernïaeth dda wedi’i chreu gan ddatblygwyr cyfrifol.

Mae hyn yn arbennig o bwysig gan fod y rhan fwyaf o brosiectau blockchain yn ffynhonnell agored, sy'n golygu bod eu cod yn tueddu i gael ei gopïo a'i ailddefnyddio. Mae'n cyflymu pethau yn ystod datblygiad, ac mae'r cod yn rhad ac am ddim i'w gymryd.

Y broblem yw os daw i'r amlwg ei fod yn ddiffygiol, a'i fod yn cael ei gopïo cyn i'r datblygwyr gwreiddiol ddarganfod y gwendidau a'u trwsio. Hyd yn oed os ydyn nhw'n cyhoeddi ac yn gweithredu'r atgyweiriad, efallai na fydd y rhai a'i copïodd yn gweld y newyddion, ac mae eu cod yn parhau i fod yn agored i niwed.

I ba raddau y gall yr archwiliadau helpu mewn gwirionedd?

Mae contractau smart yn gweithredu fel rhaglenni sy'n rhedeg ar dechnoleg blockchain. O'r herwydd, mae'n bosibl eu bod yn ddiffygiol a'u bod yn cynnwys chwilod. Fel y soniais o’r blaen, y mwyaf cymhleth yw’r contract—y mwyaf yw’r tebygolrwydd bod diffyg neu ddau wedi llithro drwy archwiliadau’r datblygwyr.

Yn anffodus, mae yna lawer o sefyllfaoedd lle nad oes ateb hawdd i unioni'r diffygion hyn, a dyna pam y dylai datblygwyr gymryd eu hamser a sicrhau bod y cod yn cael ei wneud yn iawn a bod y diffygion yn cael eu gweld ar unwaith neu o leiaf cyn gynted â phosibl.

Dyma lle daw archwiliadau i mewn, oherwydd os profwch y cod a dogfennu cynnydd ei ddatblygiad a'r profion yn ddigonol, gallwch gael gwared ar y mwyafrif o faterion yn gynnar.

Wrth gwrs, ni all hyd yn oed archwiliadau roi gwarant 100% na fydd unrhyw broblemau gyda'r cod. Ni all neb. Nid yw'n ddamweiniol bod hacwyr angen misoedd i ddarganfod y bregusrwydd lleiaf y gallant ei ddefnyddio er mantais iddynt - ni allwch greu'r cod perffaith a'i wneud yn ddefnyddiol, yn enwedig nid o ran technoleg newydd.

Mae archwiliadau yn lleihau nifer y materion, ond y broblem wirioneddol yw nad oedd gan lawer o'r prosiectau sy'n cael eu taro gan hacwyr unrhyw archwiliadau o gwbl hyd yn oed.

Felly, i unrhyw ddatblygwyr a pherchnogion prosiect sy'n dal i fod yn y broses ddatblygu yw cofio nad yw diogelwch yn dod o basio archwiliad. Fodd bynnag, mae'n sicr yn dechrau yno. Gweithio ar eich cod; gwnewch yn siŵr bod ganddo bensaernïaeth wedi'i dylunio'n dda a bod datblygwyr medrus a diwyd yn gweithio arno.

Sicrhewch fod popeth wedi'i brofi a'i ddogfennu'n dda, a defnyddiwch yr holl adnoddau sydd ar gael ichi. Mae bounties byg, er enghraifft, yn ffordd wych o gael eich cod wedi'i wirio gan bobl o safbwynt yr hacwyr, a gall persbectif newydd gan rywun sy'n chwilio am ffordd i mewn fod yn amhrisiadwy wrth sicrhau eich prosiect.