Wéi DeFi Hacks eropgoen, wëll dësen Startup Rad ...

An de leschte puer Joer sinn Honnerte vun neien dezentraliséierte Finanzapplikatiounen a Protokoller op d'Ethereum Netzwierk an aner Blockchainen iwwerschwemmt. Am November 2021 huet de Gesamtwäert gespaart an all DeFi Apps eng iwwerraschend $290 Milliarde erreecht. 

DeFi, an der Theorie, ass entwéckelt fir den Zougang zu Finanzen ze demokratiséieren andeems d'Leit aus der ganzer Welt, aus all Hannergrond, egal wien se sinn, erlaabt matzemaachen. Et gi keng finanziell oder geographesch Restriktiounen oder zentraliséiert Intermédiairen - alles ass dezentraliséiert, vertrauenslos a peer-to-peer. 

Et ass eng Visioun déi populär bewisen huet, mat DeFi méi séier wuessen wéi jidderee sech kéint virstellen. Wéi och ëmmer, säin Opstieg gouf vu ville kritesche Sécherheetsbedrohungen bewölkt, déi et maachen wéi e ganz riskant Venture fir jiddereen deen net extrem kennt iwwer d'Krypto funktionnéiert. 

Wärend 2021 e grousst Joer fir DeFi war, war et wuel nach méi grouss fir Hacker, mat engem rezente Bericht vun Chainalaysis fannen datt si dëst Joer eng kombinéiert 3.2 Milliarden Dollar u Krypto-Währung geklaut hunn. Dëst Joer ass méiglecherweis grad esou rentabel fir Hacker. No der leschter CertiK Rapport, DeFi an Web3 hunn zesummen méi wéi 2 Milliarden Dollar fir Hacker an den éischte sechs Méint vum Joer verluer. 

Chainalysis sot datt Hacker an der Krypto Sphär vu Portemonnaie an aner Ziler migréiert hunn, a si bal ausschliesslech op DeFi Protokoller haut. An den éischten dräi Méint vun 2022 koumen bal 97% vun alle Fongen, déi vun Hacker geklaut goufen, aus DeFi, erop vun 72% am Joer 2021 a just 30% am Joer 2020. E séiere Bléck op e puer vun de gréissten Hacks vun dësem Joer erkläert firwat DeFi huet ginn esou e populär Zil fir Ugräifer. D'Quantitéiten déi se klauen kënnen sinn enorm. Deen deiersten Hack bis elo dëst Joer war de Ronin Validator Sécherheetsverletzung. Den 23. Mäerz konnten d'Persoun oder d'Persounen, déi fir d'Attack verantwortlech sinn, dem Sky NMavis seng Ronin an Axie DAO Validator Node kompromittéieren, d'private Schlësselen hacken an onerlaabt Réckzuch maachen. Si hunn eng onheemlech 173,600 ETH an 25.5 Milliounen USDC geklaut, am Ganzen $ 615.5 Milliounen, iwwer nëmmen zwou Transaktiounen. 

Leider war de Ronin Hack net nëmmen en isoléiert Event. Am Februar Hacker eng Sécherheetsschwaachheet exploitéiert an der Ënnerschrëftverifizéierung vum Wormhole, wat et hinnen erlaabt mat 120,000 wETH op Solana ofzekommen, e Betrag dee $ 326 Milliounen zum Zäitpunkt vun der Attack wäert war. Ähnlech, am Abrëll, de Beanstalk Protokoll gefall Affer zu engem Dag Verspéidung bannent engem $ BEAN Gouvernance Propositioun Kontrakt fir e Flash Prêt komplett. Den Ugräifer konnt 70% vun den Total Somen klauen, an am Ganzen 181 Milliounen Dollar ewechkommen. 

Spotting Smart Kontrakt Schwachstelle

Déi grouss Majoritéit vun DeFi Hacks geschitt wéinst Schwachstelle an de Smart Kontrakter, déi d'Protokoller erliewen. Smart Kontrakter si selbstausféierend Bits vu Code déi automatesch Transaktioune veraarbecht wann verschidde Konditioune erfëllt sinn. Si sinn ee vun de Kärelementer vun DeFi well se d'Ufuerderung fir e vertrauenswürdege Tëschestatioun redundant maachen. 

D'Gutt Noriicht ass datt d'Gemeinschaft sech bewosst ass datt Smart Kontrakter eng grëndlech Schwächt an der DeFi Sécherheet sinn a Schrëtt mécht fir se unzegoen. Déi zouverlässegst DeFi Protokoller haut si sécher eng ëmfaassend auszeféieren Smart Kontrakt Audit fir z'identifizéieren ob Schwachstelle existéieren. Audits gi vun zouverléissege Firmen wéi CertiK an Hacken duerchgefouert, a beurteelen déi opgeholl Transaktiounen an engem Blockchain Ledger fir ze probéieren all Bugs ze gesinn. 

Aner Weeër fir Schwachstelle z'identifizéieren enthalen Pénétratiounstester vun Teams vu Sécherheetsexperten, déi probéieren DeFi Protokoller ze hacken, sou datt se d'Entwéckler informéiere kënnen, wéi se et gemaach hunn, sou datt se all Schleifen zoumaachen, déi entdeckt ginn. Zousätzlech kënnen d'Protokoller och "Bug Bounties" ubidden, wou se wesentlech crowdsource Sécherheet. Dosende vu "White Hat" Hacker konkurréiere fir e monetäre Präis fir Schwachstelle bannent engem Protokoll z'identifizéieren. Bug Bounties kënne besonnesch gutt sinn, well se d'Participanten encouragéieren wéi richteg Cyberkrimineller ze handelen, dat heescht datt se wahrscheinlech probéieren de Protokoll mat ähnleche Methoden ze hacken wéi déi richteg Béiser maachen. D'Iddi ass datt déi gutt Kärelen all offensichtlech Ausnotzen entdecken ier se an der realer Welt ausgesat sinn. 

Smart Kontrakt Code Audits a Käfer Bounties kënnen hëllefen DeFi Protokoller ze schützen géint allgemeng Hacks ronderëm ongehandelt Ausnahmen an Transaktiounsbestellungsofhängegkeet. Wéi och ëmmer, Auditen sinn leider net onfehlbar - d'Chainalaysis Studie huet festgestallt datt 30% vun Ausnotzen dëst Joer op Plattformen geschitt sinn déi an de leschten 12 Méint gepréift goufen. Also wärend Codeaudits a Käferbounties hëllefräich kënne sinn, gi se keng Garantien. Als solch, DeFi Protokoller, déi Milliarden vun Dollar an de Benotzer Fongen managen, sollten eng méi robust Approche fir d'Sécherheet uhuelen. 

Nei Erfindung vun Smart Kontrakter

Eng vun de spannendsten Léisungen fir erauszekommen ass d'Scrypto Programméierungssprooch entwéckelt vun Radix, wat e Layer-1 Blockchain Protokoll ass deen speziell fir DeFi gebaut gouf. 

d' Scrypto Sprooch baséiert op der populärer Rust Programméierungssprooch an behält déi meescht vu senge Funktiounen. Wéi och ëmmer, et füügt notamment eng Zuel vu spezifesche Funktiounen un baséiert op der Radix Engine. Et kann als Sammlung vu Bibliothéiken an Extensiounen op Rust geduecht ginn, déi Asset-orientéiert Features ubitt, wat Rust-Stil Logik erlaabt mat Verméigen als gebierteg, éischtklasseg Bierger ze interagéieren. 

Déi wichtegst Ënnerscheedung vu Scrypto ass datt et effektiv mat Smart Kontrakter ewechkënnt. Amplaz vu Smart Kontrakter benotzt se Blueprints a Komponenten fir Transaktiounen ze veraarbecht. Blueprints sinn kompiléiert Quellcode deen op der Blockchain lieft, wou se vu jidderengem benotzt kënne ginn. Hir Roll ass "Konstruktorfunktiounen" fir DeFi Transaktiounen ze bidden, mat flexiblen Parameteren déi anerer kënnen instantiéieren. Si sinn allgemeng zimmlech spezialiséiert wat d'Funktionalitéit ugeet, och wann se verschidde verschidde Benotzungsfäll ënnerstëtzen ofhängeg vu genau wéi se instantiéiert sinn. Blueprints kënnen heiansdo mat anere Blueprints funktionnéieren, zesummen als "Package" ofgesat. 

Fir e Blueprint z'aktivéieren, muss et instantiéiert ginn andeems ee vu senge Konstruktorfunktiounen urufft fir d'Adress vun enger nei erstallt Instanz ze kréien, bekannt als "Komponent". Komponente gi benotzt fir de Staat ze managen a kënne Ressourcen sammelen, halen a verdeelen no der Logik verbonnen am Blueprint deen et erstallt huet. An anere Wierder, Komponenten am Scrypto ähnelen Smart Kontrakter, awer si kommen aus der Logik, déi am Blueprint definéiert ass, deen et gebuer huet. 

Scrypto seng eenzegaarteg Architektur erlaabt et Transaktiounen op eng ganz aner Manéier auszeféieren wéi regelméisseg Smart Kontrakter, déi a Solidity oder enger anerer Sprooch geschriwwe sinn. Amplaz eng Nummer oder Referenz op e puer Stongen ze schécken, transferéiert Radix Engine d'Besëtzer vun Stongen vum Uruff un eng Komponent. Wann dee Komponent en Eemer vu Ressourcen oder e puer Eemer kritt, kann et dës Ressourcen huelen an se an e Vault deposéieren, deen se hält, oder soss en aneren Eemer. Dann suergt de Radix Engine datt den Uruff net méi Zougang zum Eemer oder Vault kritt. 

D'Ennresultat ass datt dApps op Radix gebaut hunn eng vill méi einfach a méi sécher Manéier fir ze handelen. Fir besser ze verstoen wéi et funktionnéiert, bitt Radix eis d' Beispill vun engem gumball Maschinn dat akzeptéiert USD Tokens am Austausch fir en Token, deen a sengem Vault ofgehale gëtt. 

An dësem Beispill passéiert de Benotzer en Eemer vun 0.25 USD un d'InsertCoins Method vun der MyMachine Komponent. D'Logik vum Blueprint gesäit datt de richtege Präis bezuelt gouf, füügt dës Tokens un e Vault bäi, hëlt dann 1 Gumball aus sengem Gumball Vault a gitt et zréck un den Uruffer. Et kann souguer eng Ännerung zréck schécken wann den Uruffer ze vill USD passéiert. 

Mat Ethereum's Solidity-baséiert Smart Kontrakter ass et vill méi komplex a riskant. An der selwechter Maschinn géif de Benotzer e Smart Kontrakt ruffen fir d'Maschinn Erlaabnis ze ginn aus hirem Portemonnaie op hirem Numm zréckzezéien. Si géifen d'Maschinn soen datt se 0.25 USD aginn wëllen. D'Maschinn géif dann den USD Kontrakt ruffen fir de Réckzuch ze maachen, dann rufft e Gumball Smart Kontrakt fir de Gumball un de Benotzer ze schécken. Schlussendlech wäert et wahrscheinlech och en internen Cache vun der Unzuel vun de verbleiwen Gummiballen aktualiséieren fir no Eros ze kontrolléieren. Jidderee vun dëse Prozesser benotzt e Smart Kontrakt, a jidderee riskéiert dofir gehackt ze ginn wéinst engem Smart Kontrakt Schwachstelle. 

Dat ass just en einfacht Beispill. Mat DeFi kënnen Transaktioune vill Mol méi komplex sinn, dat heescht datt se e puer Mol de Risiko ausgesat sinn. Alles wat et brauch ass eng Schwachstelle iergendwou, an engem vun de ville Smart Kontrakter, déi an enger Transaktioun involvéiert sinn, fir en Ugräifer en Attack ofzezéien. 

Konklusioun 

Wéi DeFi wiisst a säi Gesamtwäert gespaart eropgeet, wäert de Risiko vun der Ausbeutung nëmmen eropgoen. Wann et een Takeaway ass, dee mir aus der iwwerraschender Quantitéit vu Krypto sammele kënnen, déi vun DeFi Hacks geklaut gouf, ass et datt d'Bedierfnes fir intelligent Kontraktsécherheet ni méi grouss war. Iwwerdeems Code Audits a Bug Bounties hëllefe kënnen déi offensichtlechst Schwachstelle am DeFi z'entdecken, ass et kloer datt d'Industrie onmoosseg vun enger radikaler Reform profitéiere kann baséiert op enger Infrastruktur déi entwéckelt ass fir d'Zuel vu potenziellen Ausnotzen vun Ufank un ze minimiséieren. 

Verzichterklärung: Dësen Artikel gëtt nëmme fir Informatiounszwecker zur Verfügung gestallt. Et gëtt net ugebueden oder geduecht als legal, Steier, Investitioun, finanziell oder aner Berodung ze benotzen