Gjatë dy viteve të fundit, qindra aplikacione dhe protokolle të reja të financave të decentralizuara kanë vërshuar në rrjetin Ethereum dhe në blloqe të tjera. Në nëntor 2021, vlera totale e bllokuar në të gjitha aplikacionet DeFi arriti në 290 miliardë dollarë.
DeFi, në teori, është krijuar për të demokratizuar aksesin në financa duke u mundësuar njerëzve nga e gjithë bota, nga çdo sfond, pavarësisht se kush janë ata, të marrin pjesë. Nuk ka kufizime financiare apo gjeografike apo ndërmjetësues të centralizuar – gjithçka është e decentralizuar, e pabesueshme dhe e ndërsjellë.
Është një vizion që ka rezultuar popullor, me DeFi që po rritet më shpejt nga sa mund ta imagjinonte kushdo. Megjithatë, ngritja e tij është turbulluar nga kërcënime të shumta kritike të sigurisë që e bëjnë atë të duket si një sipërmarrje shumë e rrezikshme për këdo që nuk është jashtëzakonisht i ditur se si funksionon kripto.
Ndërsa 2021 ishte një vit i madh për DeFi, ai ishte ndoshta edhe më i madh për hakerët, me një raport të fundit nga Chainalaysis gjetur se ata vodhën një kriptomonedhë me vlerë të kombinuar prej 3.2 miliardë dollarësh atë vit. Ky vit ka të ngjarë të jetë po aq fitimprurës për hakerat. Sipas të fundit të CertiK raportojnë, DeFi dhe Web3 së bashku humbën më shumë se 2 miliardë dollarë nga hakerat në gjashtë muajt e parë të vitit.
Chainalysis tha se hakerat në sferën e kriptos kanë migruar larg kuletave dhe objektivave të tjerë dhe po synojnë pothuajse ekskluzivisht protokollet DeFi sot. Në tre muajt e parë të 2022, pothuajse 97% e të gjitha fondeve të vjedhura nga hakerat erdhën nga DeFi, nga 72% në 2021 dhe vetëm 30% në 2020. Një vështrim i shpejtë në disa nga hakerat më të mëdha të këtij viti shpjegon pse DeFi ka bëhet një objektiv kaq popullor për sulmuesit. Shumat që mund të vjedhin janë të jashtëzakonshme. Hakimi më i shtrenjtë deri më tani këtë vit ishte ai Shkelja e sigurisë e Vlerësuesit të Ronin. Më 23 mars, personi ose personat përgjegjës për sulmin ishin në gjendje të komprometonin nyjet e verifikimit Ronin dhe Axie DAO të Sky NMavis, të hakonin çelësat privatë dhe të bënin tërheqje të paligjshme. Ata vodhën një vlerë të pabesueshme 173,600 ETH dhe 25.5 milionë USDC, që arrin në 615.5 milionë dollarë në total, me vetëm dy transaksione.
Fatkeqësisht, hakimi i Ronin nuk ishte thjesht një ngjarje e izoluar. Në shkurt hakerat ka shfrytëzuar një cenueshmëri sigurie në verifikimin e nënshkrimit të Wormhole, duke u mundësuar atyre të largohen me 120,000 WETH në Solana, një shumë që kapte vlerën e 326 milionë dollarëve në kohën e sulmit. Në mënyrë të ngjashme, në prill, protokolli Beanstalk ra viktimë në një vonesë njëditore brenda një kontrate propozimi për qeverisje $BEAN për të përfunduar një hua të shpejtë. Sulmuesi ishte në gjendje të vidhte 70% të totalit të farave, duke u larguar me 181 milionë dollarë në total.
Zbulimi i dobësive të kontratës inteligjente
Shumica dërrmuese e hakimeve të DeFi ndodhin për shkak të dobësive në kontratat inteligjente që fuqizojnë protokollet. Kontratat inteligjente janë pjesë kodi vetë-ekzekutuese që përpunojnë automatikisht transaksionet kur plotësohen disa kushte. Ata janë një nga elementët thelbësorë të DeFi pasi bëjnë të tepërt kërkesën për një ndërmjetës të besuar.
Lajmi i mirë është se komuniteti është i vetëdijshëm se kontratat inteligjente janë një dobësi e dukshme në sigurinë e DeFi dhe po ndërmerr hapa për t'i trajtuar ato. Protokollet më të besueshme DeFi sot me siguri do të kryejnë një gjithëpërfshirës auditimi i zgjuar i kontratës për të identifikuar nëse ekziston ndonjë dobësi. Auditimet kryhen nga firma të besueshme si CertiK dhe Hacken, dhe vlerësojnë transaksionet e regjistruara brenda një libri blockchain për të provuar të dallojnë ndonjë defekt.
Mënyra të tjera për të identifikuar dobësitë përfshijnë testet e penetrimit nga ekipe ekspertësh sigurie, të cilët përpiqen të hakojnë protokollet e DeFi në mënyrë që të mund të informojnë zhvilluesit se si e kanë bërë këtë, duke i lejuar ata të mbyllin çdo zbrazëti që zbulohet. Për më tepër, protokollet mund të ofrojnë gjithashtu “bug bug bounties”, ku në thelb ata mbledhin sigurinë. Dhjetra hakerë të "kapelës së bardhë" konkurrojnë për një çmim monetar për të identifikuar dobësitë brenda një protokolli. Bujaritë e gabuara mund të jenë veçanërisht të dobishme sepse i nxisin pjesëmarrësit të veprojnë si kriminelë të vërtetë kibernetikë, që do të thotë se ata ka të ngjarë të përpiqen të hakojnë protokollin duke përdorur metoda të ngjashme siç bëjnë të këqijtë e vërtetë. Ideja është që djemtë e mirë do të zbulojnë ndonjë shfrytëzim të dukshëm përpara se të ekspozohen në botën reale.
Auditimet e kodit të kontratës inteligjente dhe shpërblimet e gabimeve mund të ndihmojnë në mbrojtjen e protokolleve DeFi kundër hakimeve të zakonshme rreth përjashtimeve të patrajtuara dhe varësisë së porosisë së transaksionit. Megjithatë, auditimet për fat të keq nuk janë të pagabueshme – studimi i Chainalaysis zbuloi se 30% e shfrytëzimeve këtë vit ndodhën në platforma që ishin audituar brenda 12 muajve të fundit. Pra, ndërsa auditimet e kodit dhe shpërblimet e gabimeve mund të jenë të dobishme, ato nuk ofrojnë asnjë garanci. Si të tilla, protokollet DeFi që po menaxhojnë miliarda dollarë në fondet e përdoruesve duhet të miratojnë një qasje më të fuqishme ndaj sigurisë.
Rishpikja e kontratave të zgjuara
Një nga zgjidhjet më emocionuese që është shfaqur është gjuha e programimit Scrypto e zhvilluar nga burim, i cili është një protokoll blockchain i shtresës 1 që është ndërtuar posaçërisht për DeFi.
La Gjuhë skripto bazohet në gjuhën e njohur të programimit Rust dhe ruan shumicën e veçorive të saj. Sidoqoftë, ai shton veçanërisht një numër funksionesh specifike bazuar në Motorin Radix. Mund të mendohet si një koleksion bibliotekash dhe shtesash të Rust që ofron veçori të orientuara drejt aseteve, duke mundësuar logjikën e stilit Rust të ndërveprojë me asetet si një qytetar vendas dhe i klasit të parë.
Dallimi më i rëndësishëm i Scrypto është se ai eliminon në mënyrë efektive kontratat inteligjente. Në vend të kontratave inteligjente, ai përdor projekte dhe komponentë për të përpunuar transaksionet. Projektet janë kodi burimor i përpiluar që jeton në blockchain, ku mund të përdoren nga kushdo. Roli i tyre është të sigurojnë "funksione konstruktori" për transaksionet DeFi, me parametra fleksibël që të tjerët mund të instantojnë. Ato janë përgjithësisht mjaft të specializuara për sa i përket funksionalitetit, megjithëse mund të mbështesin shumë raste të ndryshme përdorimi në varësi të mënyrës se si janë instancuar saktësisht. Projektet ndonjëherë mund të punojnë me projekte të tjera, të vendosura së bashku si një "paketë".
Për të aktivizuar një plan, ai duhet të instantohet duke thirrur një nga funksionet e tij konstruktori në mënyrë që të merret adresa e një shembulli të sapokrijuar, të njohur si "komponent". Komponentët përdoren për të menaxhuar gjendjen dhe mund të mbledhin, mbajnë dhe shpërndajnë burime sipas logjikës së lidhur brenda planit që e ka krijuar atë. Me fjalë të tjera, komponentët në Scrypto i ngjajnë kontratave inteligjente, megjithatë, ato rrjedhin nga logjika e përcaktuar brenda planit që e lindi atë.
Arkitektura unike e Scrypto e lejon atë të kryejë transaksione në një mënyrë shumë të ndryshme nga kontratat e rregullta inteligjente të shkruara në Solidity ose në një gjuhë tjetër. Në vend që të dërgojë një numër ose referencë për disa shenja, Radix Engine transferon pronësinë e argumenteve nga thirrësi te një komponent. Sapo ai komponent të marrë një kovë me burime ose kova të shumta, mund t'i marrë ato burime dhe t'i depozitojë në një kasafortë që mban, ose përndryshe në një kovë tjetër. Më pas, Radix Engine siguron që telefonuesi nuk mund të hyjë më në kovë ose kasafortë.
Rezultati përfundimtar është se dApps të ndërtuara në Radix kanë një mënyrë shumë më të thjeshtë dhe më të sigurt të transaksionit. Për të kuptuar më mirë se si funksionon, Radix na ofron shembull i një makinerie çamçakëz që pranon argumentet USD në këmbim të një token të mbajtur brenda kasafortës së tij.
Në këtë shembull, përdoruesi kalon një kovë prej 0.25 USD në metodën insertCoins të komponentit MyMachine. Logjika e projektit sheh që çmimi i saktë është paguar, i shton ato argumente në një kasafortë, më pas merr 1 gomë çamçakëz nga kasaforta e tij dhe ia kalon atë telefonuesit. Ai madje mund të dërgojë disa ndryshime nëse telefonuesi ka kaluar shumë USD.
Me kontratat inteligjente të bazuara në Solidity të Ethereum është shumë më komplekse dhe më e rrezikshme. Në të njëjtën makinë, përdoruesi do të thërriste një kontratë inteligjente për t'i dhënë makinës lejen të tërhiqet nga portofoli i tyre në emër të tij. Ata do t'i tregonin makinës që dëshironin të futnin 0.25 USD. Makina më pas do të thërriste kontratën në USD për të bërë tërheqjen, më pas do të thërriste një kontratë të zgjuar gumball për t'i dërguar gumballin te përdoruesi. Së fundi, ndoshta do të përditësonte gjithashtu një memorie të brendshme të numrit të gomave të mbetura për të kontrolluar për eros. Secili prej këtyre proceseve përdor një kontratë inteligjente, dhe për këtë arsye secili rrezikon të hakerohet për shkak të një cenueshmërie të kontratës inteligjente.
Ky është vetëm një shembull i thjeshtë. Me DeFi, transaksionet mund të jenë shumë herë më komplekse, që do të thotë se ato janë të ekspozuara ndaj rrezikut të shumëfishtë. Gjithçka që duhet është një dobësi diku, në ndonjë nga kontratat e shumta inteligjente të përfshira në një transaksion, që një sulmues të kryejë një sulm.
Përfundim
Ndërsa DeFi rritet dhe vlera e tij totale e bllokuar rritet, rreziku i shfrytëzimit vetëm do të rritet. Nëse mund të mbledhim diçka nga sasia mahnitëse e kriptove që është vjedhur nga hakerat e DeFi, është se nevoja për sigurinë e kontratave inteligjente nuk ka qenë kurrë më e madhe. Ndërsa auditimet e kodit dhe shpërblimet e gabimeve mund të ndihmojnë në zbulimin e dobësive më të dukshme në DeFi, është e qartë se industria mund të përfitojë pa masë nga një rishikim rrënjësor i bazuar në një infrastrukturë që është krijuar për të minimizuar numrin e shfrytëzimeve të mundshme që nga fillimi.
Përgjegjësia: Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose synohet të përdoret si këshillë juridike, tatimore, investuese, financiare ose këshillë tjetër
Burimi: https://cryptodaily.co.uk/2022/08/as-defi-hacks-soar-this-startup-wants-to-radically-overhaul-smart-contracts-to-prevent-them