Wéi den DeFi Secteur weider Suen a Benotzer unzezéien, schlecht Akteuren aus der ganzer Welt gesinn et weider als en attraktivt Zil dat reift fir d'Auswiel a schlecht geschützt ass.
An de leschte Méint hunn ech e puer vun de bemierkenswäertsten Ausnotzen vun DeFi Protokoller verfollegt, an op d'mannst siwe vun hinnen schéngen eleng e Resultat vu schlau Kontraktfehler ze sinn.
Zum Beispill, Hacker hunn Wormhole geschloen a geklaut, iwwer $ 300 Millioune geklaut, Qubit Finance ($ 80 Milliounen), Meter ($ 4.4 Milliounen), Deus ($ 3 Milliounen), TreasureDAO (iwwer 100 NFTs), a schliisslech Agave an Hundred Finance déi zesummen , am Ganzen $ 11 Milliounen verluer. All dës Attentater hunn zum Vol vun zimlech bedeitende Geldbeträg gefouert, wat e grousse Schued un de Projete verursaacht huet.
Vill vun de gezielte Protokoller hunn eng Devaluatioun vun hirer Krypto-Währung gesinn, Mësstrauen vu Benotzer, Kritik iwwer d'Sécherheet vun DeFi a Smart Kontrakter, an ähnlech negativ Konsequenzen.
Wéi eng Aarte vun Ausnotzen sinn während den Attacke geschitt?
Natierlech ass all eenzel vun dëse Fäll eenzegaarteg, a verschidden Aarte vun Ausnotzen goufen benotzt fir all eenzel Projet unzegoen, ofhängeg vun hire Schwachstelle a Mängel. Beispiller enthalen Logikfehler, Reentrancy Attacken, Flashloan Attacke mat Präismanipulatiounen a méi. Ech gleewen datt dëst d'Resultat ass datt DeFi Protokoller méi komplex ginn, a wéi se et maachen, mécht d'Komplexitéit vum Code et ëmmer méi schwéier fir all Mängel ze läschen.
Ausserdeem hunn ech zwou Saache gemierkt wärend ech all eenzel vun dësen Tëschefäll analyséiert hunn. Déi éischt ass datt d'Hacker et fäerdeg bruecht hunn all Kéier mat massiven Zommen ewech ze kommen - Millioune Dollar am Wäert vu Krypto.
Dëse "Payday" gëtt den Hacker Ureiz fir all néideg Zäit ze verbréngen fir d'Protokoller ze studéieren, souguer Méint gläichzäiteg, well se wëssen datt d'Belounung et wäert wäert sinn. Dat heescht datt d'Hacker motivéiert sinn fir vill méi Zäit no Mängel ze verbréngen wéi d'Revisoren.
Déi zweet Saach, déi erausgestan ass, ass datt, an e puer Fäll, d'Hacks tatsächlech extrem einfach waren. Huelt den Hundred Finance Attack als Beispill. De Projet gouf mat engem bekannte Käfer getraff, deen typesch a Compound Forks ka fonnt ginn, wann en Token zum Protokoll bäigefüügt gëtt. Alles wat den Hacker maache muss ass waart bis ee vun dësen Tokens an d'Honnert Finance bäigefüügt gëtt. Duerno, alles wat et brauch ass e puer einfache Schrëtt ze verfollegen fir d'Exploit ze benotzen fir op d'Suen ze kommen.
Wat kënnen DeFi Projete maachen fir sech selwer ze schützen?
Fir no vir ze kommen, ass dat Bescht wat dës Projete maache kënne fir sech vu schlechten Akteuren ze schützen ass op d'Audit ze fokusséieren. Wat méi déif, wat besser, a gefouert vun erfuerene Fachleit, déi wësse wat oppassen. Awer et gëtt eng aner Saach, déi d'Projete kënne maachen, och ier se op d'Auditen zréckgräifen, an dat ass fir sécherzestellen datt se eng gutt Architektur hunn, déi vu verantwortlechen Entwéckler geschaf ginn.
Dëst ass besonnesch wichteg well déi meescht Blockchain Projeten Open-Source sinn, wat heescht datt hire Code éischter kopéiert a weiderbenotzt gëtt. Et beschleunegt d'Saachen wärend der Entwécklung, an de Code ass gratis fir ze huelen.
De Problem ass wann et sech erausstellt datt et fehlerhaft ass, an et gëtt kopéiert ier d'Original Entwéckler d'Schwächheeten erausfannen an se fixéieren. Och wa se d'Fix annoncéieren an ëmsetzen, kënnen déi, déi et kopéiert hunn, d'Nouvelle net gesinn, an hire Code bleift vulnérabel.
Wéi vill kënnen d'Auditen eigentlech hëllefen?
Smart Kontrakter funktionnéieren als Programmer déi op Blockchain Technologie lafen. Als esou ass et méiglech datt se fehlerhaft sinn an datt se Bugs enthalen. Wéi ech virdru scho gesot hunn, wat méi komplex de Kontrakt ass - wat méi grouss ass d'Chance datt e Feeler oder zwee duerch d'Kontroll vun den Entwéckler rutscht.
Leider ginn et vill Situatiounen, wou et keng einfach Léisung gëtt fir dës Mängel ze korrigéieren, dofir sollten d'Entwéckler sech Zäit huelen an dofir suergen, datt de Code richteg gemaach gëtt an datt d'Mängel direkt oder op d'mannst sou fréi wéi méiglech festgestallt ginn.
Dëst ass wou d'Auditë kommen, well wann Dir de Code testt an de Fortschrëtt vu senger Entwécklung an den Tester adequat dokumentéiert, kënnt Dir d'Majoritéit vun den Themen fréi lass kréien.
Natierlech kënne souguer Auditen net eng 100% garantéieren datt et keng Probleemer mam Code gëtt. Keen kann. Et ass net zoufälleg datt Hacker Méint brauche fir déi klengst Schwachstelle erauszefannen, déi se zu hirem Virdeel benotze kënnen - Dir kënnt net de perfekte Code erstellen an et nëtzlech maachen, besonnesch net wann et ëm nei Technologie kënnt.
Auditen reduzéieren d'Zuel vun den Themen, awer de richtege Problem ass datt vill vun de Projeten, déi vun den Hacker getraff ginn, iwwerhaapt keng Auditen haten.
Also, fir all Entwéckler a Projetsbesëtzer, déi nach am Entwécklungsprozess sinn, ass ze erënneren datt d'Sécherheet net kënnt vun engem Audit passéieren. Do fänkt et awer sécherlech un. Aarbecht op Äre Code; vergewëssert Iech datt et eng gutt entworf Architektur huet an datt kompetent a fläisseg Entwéckler dru schaffen.
Gitt sécher datt alles getest a gutt dokumentéiert ass, a benotzt all d'Ressourcen déi Dir zur Verfügung hutt. Bug Bounties, zum Beispill, sinn e super Wee fir Äre Code vu Leit aus der Siicht vun den Hacker z'iwwerpréiwen, an eng frësch Perspektiv vun engem deen no engem Wee sicht kann onschätzbar sinn fir Äre Projet ze sécheren.
Gaascht Post vum Gleb Zykov vun HashEx
De Gleb huet seng Karriär an der Softwareentwécklung an engem Fuerschungsinstitut ugefaang, wou hien e staarken techneschen a Programméierungshintergrund krut, fir verschidden Aarte vu Roboteren fir de russesche Ministère fir Noutsituatiounen z'entwéckelen.
Spéider huet de Gleb seng technesch Expertise bei d'IT-Servicefirma GTC-Soft bruecht, wou hien Android Uwendungen entworf huet. Hien ass weidergaang fir de Lead Entwéckler ze ginn an duerno den CTO vun der Firma. Am GTC Gleb huet d'Entwécklung vu ville Gefierer Iwwerwaachungsservicer an en Uber-ähnlechen Service fir Premium Taxis gefouert. Am 2017 gouf Gleb ee vun de Matgrënner vun HashEx - eng international Blockchain Audit- a Berodungsfirma. Gleb hält d'Positioun vum Chief Technology Officer, spëtzt d'Entwécklung vu Blockchain-Léisungen a Smart-Kontrakt Audits fir d'Clientë vun der Firma.
Quell: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/