Azken bi urteetan, ehunka finantza-aplikazio eta protokolo deszentralizatu berri Ethereum sarean eta beste bloke-kateetan gainezka egin dira. 2021eko azaroan, DeFi aplikazio guztietan blokeatutako balio osoa 290 milioi dolar ikaragarrira iritsi zen.
DeFi, teorian, finantzaketarako sarbidea demokratizatzeko diseinatuta dago, mundu osoko pertsonei, edozein jatorritakoak, edozein dela ere, parte hartzeko aukera emanez. Ez dago murrizketa finantzario edo geografikorik edo bitartekari zentralizaturik: dena deszentralizatua, konfiantzarik gabekoa eta parekidea da.
Ospetsua izan den ikuspegia da, DeFi inork imajina zezakeen baino azkarrago hazten ari baita. Hala ere, bere gorakada lainotu egin da segurtasun mehatxu kritiko ugarik, oso arriskutsua iruditzen zaien kriptografiaren funtzionamenduari buruz oso ezagutzen ez duen edonorentzat.
2021 DeFirentzat urte handia izan zen arren, dudarik gabe, are handiagoa izan zen hackerrentzat, Chainalaysis-en azken txostenarekin. aurkitzeko urtean kripto-moneta konbinatuta 3.2 milioi dolar bat lapurtu zutela. Litekeena da aurtengoa hackerrentzat bezain errentagarria izatea. CertiK-ren azkenen arabera bidali gertakar, DeFik eta Web3k elkarrekin 2 milioi dolar baino gehiago galdu zituzten hackerren aurka urteko lehen sei hilabeteetan.
Chainalysis-ek esan zuen kriptografia-esparruko hacker-ek zorroetatik eta beste helburu batzuetatik urrundu direla, eta gaur egun ia esklusiboki DeFi protokoloak bideratzen ari dira. 2022ko lehen hiru hilabeteetan, hackerrek lapurtutako funts guztien ia % 97 DeFitik etorri ziren, 72ean % 2021 baino gehiago eta 30an % 2020 baino ez. erasotzaileen helburu ezagun bihurtu. Lapurtu ditzaketen kopuruak izugarriak dira. Orain arteko hackik garestiena izan da Ronin Validator segurtasun-haustea. Martxoaren 23an, erasoaren arduradunak edo pertsonak Sky NMavis-en Ronin eta Axie DAO baliozkotzaile nodoak arriskuan jarri, gako pribatuak pirateatu eta legez kanpoko erretiratzeak egin ahal izan zituzten. 173,600 ETH eta 25.5 milioi USDC ikaragarriak lapurtu zituzten, guztira 615.5 milioi dolar, bi transakzio soilik bidez.
Zoritxarrez, Ronin hack-a ez zen gertaera isolatu bat izan. Otsailean hackerrak segurtasun ahultasun bat ustiatu du Wormhole-ren sinadura egiaztatzean, Solanan 120,000 wETHrekin ateratzeko aukera emanez, erasoaren unean 326 milioi dolar balio zuen kopuru hori. Era berean, apirilean, Beanstalk protokoloa biktima izan zen $BEAN gobernu-proposamen kontratu baten barruan egun bateko atzerapenari flash mailegu bat osatzeko. Erasotzaileak hazi guztien % 70 lapurtu ahal izan zuen, eta guztira 181 milioi dolar lortu zituen.
Kontratu adimendunen ahultasunak antzematea
DeFi hackeen gehiengoa protokoloak elikatzen dituzten kontratu adimendunen ahultasunengatik gertatzen dira. Kontratu adimentsuak baldintza batzuk betetzen direnean transakzioak automatikoki prozesatzen dituzten kode-bit autoexekutatzen dira. DeFiren oinarrizko elementuetako bat dira, bitartekari fidagarri baten eskakizuna erredundantea egiten baitute.
Berri ona da komunitateak badakiela kontratu adimendunak DeFi segurtasunean ahultasun nabarmena direla eta horiei aurre egiteko neurriak hartzen ari direla. Gaur egungo DeFi protokolo fidagarrienek ziur aski osoa egingo dutela kontratu adimendunen auditoria ahultasunik dagoen identifikatzeko. Egiaztapenak CertiK eta Hacken bezalako enpresa fidagarriek egiten dituzte, eta blockchain liburu baten barruan erregistratutako transakzioak ebaluatzen dituzte akatsak antzematen saiatzeko.
Ahultasunak identifikatzeko beste modu batzuk daude sartze-probak Segurtasun adituen taldeek, DeFi protokoloak hackeatzen saiatzen direnak, garatzaileei nola egin duten jakin dezaten, aurkitutako hutsuneak ixteko aukera emanez. Horrez gain, protokoloek "bug bounties" ere eskain dezakete, non, funtsean, crowdsource segurtasuna duten. Dozenaka "txapel zuri" hacker lehiatzen dira diru-sari bat lortzeko, protokolo baten barruan ahultasunak identifikatzeko. Akatsak bereziki onuragarria izan daiteke, parte-hartzaileak benetako ziberkriminalak bezala jokatzera bultzatzen dituztelako, hau da, litekeena da protokoloa hackeatzen saiatuko direla benetako gaiztoek egiten duten antzeko metodoak erabiliz. Ideia da mutil onek ageriko balentria guztiak ezagutuko dituztela mundu errealean agertu aurretik.
Kontratu-kode adimendunen auditoretzak eta akatsen sariak DeFi protokoloak kudeatu gabeko salbuespenen eta transakzio-aginduen menpekotasunaren inguruko hackeo arruntetatik babesten lagun dezakete. Dena den, auditoriak, zoritxarrez, ez dira hutsezina - Chainalaysis ikerketak aurkitu zuen aurtengo ustiapenen % 30 azken 12 hilabeteetan auditatutako plataformetan gertatu zela. Beraz, kode-ikuskaritzak eta akatsen sariak lagungarriak izan daitezkeen arren, ez dute inolako bermerik ematen. Horrela, erabiltzailearen funtsetan milaka milioi dolar kudeatzen ari diren DeFi protokoloek segurtasunaren ikuspegi sendoagoa hartu beharko lukete.
Kontratu adimentsuak berrasmatzen
Sortzen den irtenbide zirraragarrienetako bat Scrypto programazio-lengoaia da radix, hau da, geruza 1 bloke-katearen protokoloa, DeFirentzat bereziki eraiki dena.
The Scrypto hizkuntza Rust programazio-lengoaia ezagunean oinarritzen da eta ezaugarri gehienak mantentzen ditu. Hala ere, nabarmen gehitzen ditu Radix Engine-n oinarritutako funtzio zehatz batzuk. Aktiboetara bideratutako ezaugarriak eskaintzen dituen Rust-en liburutegi eta luzapenen bilduma gisa pentsa daiteke, Rust estiloko logikak jatorrizko eta lehen mailako herritar gisa aktiboekin elkarreragiteko aukera ematen duena.
Scrypto-ren bereizgarririk garrantzitsuena kontratu adimendunak modu eraginkorrean kentzen dituela da. Kontratu adimendunen ordez, planoak eta osagaiak erabiltzen ditu transakzioak prozesatzeko. Blueprints bloke-katean bizi den iturburu-kode konpilatua dira, non edonork erabil ditzakeen. Haien eginkizuna DeFi transakzioetarako "eraikitzaile funtzioak" eskaintzea da, besteek instantzia ditzaketen parametro malguekin. Orokorrean nahiko espezializatuak dira funtzionaltasun aldetik, nahiz eta hainbat erabilera-kasu onar ditzaketen instantziazioaren arabera. Blueprints batzuetan beste plano batzuekin lan egin dezakete, elkarrekin zabalduta "pakete" gisa.
Plan bat aktibatzeko, instantziatu egin behar da bere eraikitzaile-funtzioetako bati deituz, sortu berri den instantzia baten helbidea lortzeko, "osagai" gisa ezagutzen dena. Osagaiak egoera kudeatzeko erabiltzen dira eta baliabideak bildu, gorde eta banatu ditzakete, sortu duen planoan lotutako logikaren arabera. Beste era batera esanda, Scrypto-ko osagaiek kontratu adimendunen antza dute, hala ere, sortu zuen planoaren barruan definitutako logikatik eratortzen dira.
Scryptoren arkitektura bereziak Solidity edo beste hizkuntza batean idatzitako kontratu adimendun arrunten oso modu ezberdinean egiten ditu transakzioak. Token batzuei zenbaki edo erreferentzia bat bidali beharrean, Radix Engine-k tokenen jabetza transferitzen du deitzailearengandik osagai batera. Osagai horrek baliabide-ontzi bat edo ontzi anitz jasotzen dituenean, baliabide horiek hartu eta gordetzen duen gangan sartu ditzake, edo beste ontzi batean. Orduan, Radix Engine-k bermatzen du deitzaileak ezin duela ontzira edo gangara sartu.
Azken emaitza da Radix-en eraikitako dApp-ek transakzio modu askoz errazagoa eta seguruagoa dutela. Nola funtzionatzen duen hobeto ulertzeko, Radix-ek eskaintzen digu gomball makina baten adibidea USD tokenak onartzen dituena bere gangan gordetako token baten truke.
Adibide honetan, erabiltzaileak 0.25 USDko ontzi bat pasatzen dio MyMachine osagaiaren insertCoins metodoari. Planaren logikak prezio zuzena ordaindu dela ikusten du, token horiek ganga batera gehitzen ditu, gero txikle-bola 1 hartzen du eta deitzaileari itzultzen dio. Aldaketa batzuk ere bidal ditzake deitzaileak USD gehiegi pasatu baditu.
Ethereum-en Solidity-en oinarritutako kontratu adimendunekin askoz konplexuagoa eta arriskutsuagoa da. Makina berean, erabiltzaileak kontratu adimendun batera deituko luke makinari bere zorrotik ateratzeko baimena emateko. 0.25 USD sartu nahi dituen makinari esango diote. Ondoren, makinak USD kontratuari deituko zion erretiratzea egiteko, eta gero gumball smart kontratu bati deituko zion gumball erabiltzaileari bidaltzeko. Azkenik, seguruenik, eros-en egiaztatzeko geratzen diren gumballs kopuruaren barne cache bat ere eguneratuko litzateke. Prozesu horietako bakoitzak kontratu adimendun bat erabiltzen du, eta, beraz, kontratu adimendunaren ahultasun baten ondorioz hackeatzeko arriskua dago.
Adibide soil bat besterik ez da. DeFi-rekin, transakzioak hainbat aldiz konplexuagoak izan daitezke, hau da, arriskua hainbat aldiz jasan dezakete. Erasotzaile batek eraso bat ateratzeko ahultasun bat da nonbait, transakzio batean parte hartzen duten kontratu adimendun ugarietako batean.
Ondorioa
DeFi hazten doan heinean eta bere balio osoa blokeatuta handitzen doan heinean, ustiapen arriskua areagotu egingo da. DeFi hackek lapurtutako kriptografia-kopuru harrigarritik jaso dezakegun aprobetxamendu bat badago, kontratu adimendunen segurtasunaren beharra ez dela inoiz handiagoa izan. Kode-ikuskaritzak eta akatsen sariak DeFi-n ahultasunik agerikoenak antzematen lagun dezaketen arren, argi dago industriak neurrigabeko etekina atera diezaiokeela berrikuntza erradikal bati hasiera-hasieratik ustiapen potentzialen kopurua minimizatzeko diseinatuta dagoen azpiegitura batean oinarrituta.
Ezespena: Artikulu hau informazio helburuetarako soilik eskaintzen da. Ez da eskaintzen edo pentsatzeko lege, zerga, inbertsio, finantza edo bestelako aholku gisa erabiltzeko
Iturria: https://cryptodaily.co.uk/2022/08/as-defi-hacks-soar-this-startup-wants-to-radical-overhaul-smart-contracts-to-prevent-them