การค้นหาว่าใครควรตำหนิสำหรับปัญหาด้านความปลอดภัยที่คงอยู่ของ DeFi

ภาคการเงินแบบกระจายอำนาจยังคงได้รับความนิยมอย่างไม่เคยปรากฏมาก่อนเนื่องจากมูลค่ารวมของสินทรัพย์ที่ถูกล็อคในผลิตภัณฑ์ DeFi เพิ่มขึ้นสองเท่าเป็น 4 พันล้านดอลลาร์ในเดือนกรกฎาคมและตอนนี้ ใกล้เข้ามา มูลค่า 5 พันล้านเหรียญ. 

ในขณะเดียวกันความต้องการที่เพิ่มขึ้นสำหรับแอปพลิเคชันดังกล่าวในหมู่ผู้ใช้และนักพัฒนาทำให้ตกเป็นเป้าหมายของผู้ไม่หวังดีเนื่องจากการเข้าถึงเงินทุนโดยตรง ในช่วงไม่กี่เดือนที่ผ่านมาแฮกเกอร์ได้ขโมยเงินไปกว่า 27 ล้านเหรียญจากโครงการ DeFi และคาดว่าจะมีการโจมตีเพิ่มขึ้นในอนาคตอันใกล้นี้ หากเป็นกรณีนี้ภาค DeFi ต้องพึ่งพา Ethereum อย่างมากเพื่อความปลอดภัยหรือไม่และการเปิดตัว ETH 2.0 จะนำมาซึ่งการปรับปรุงเพิ่มเติมในด้านนั้นหรือไม่?

แอพ DeFi คือการแลกเปลี่ยน crypto ใหม่สำหรับแฮกเกอร์

ในปี 2018–2019 การแลกเปลี่ยนคริปโตเป็นเป้าหมายอันดับหนึ่งสำหรับการโจมตีของแฮ็กเกอร์ในปี 2020 ตลาดการเงินแบบกระจายอำนาจที่อยู่ในเรดาร์ ซึ่งส่วนใหญ่เกิดขึ้นได้จากช่องโหว่ในสัญญาอัจฉริยะของแพลตฟอร์มและกลไกการรักษาความปลอดภัยที่ไม่สมบูรณ์ทางเทคนิค ในขณะเดียวกันตามประวัติศาสตร์ของการแฮ็กแสดงให้เห็นว่าผู้โจมตีไม่เพียง แต่ใช้ช่องโหว่เท่านั้น แต่ยังใช้ความสามารถที่ถูกต้องตามกฎหมายต่างๆของ blockchain เพื่อทำการโจมตี.

นี่คือวิธีที่แฮกเกอร์โจมตี Opyn เมื่อต้นเดือนสิงหาคมซึ่งเป็นโปรโตคอลที่อ้างว่าแดกดันเพื่อจัดการกับการป้องกัน DeFi มีการขโมยเงินประมาณ 371,000 ดอลลาร์เนื่องจากการใช้ประโยชน์จากโทเค็นดั้งเดิมของโครงการโดยมีการใช้ตัวเลือกการโจมตีแบบใช้จ่ายสองเท่าบน Ethereum ทำให้สามารถเข้าถึงเงินทุนของผู้ใช้ได้.

ก่อนหน้านี้ช่องโหว่ในรหัสสัญญาอัจฉริยะนำไปสู่การแฮ็กโปรเจ็กต์ DeFi อีกรายการซึ่งเงิน 25 ล้านดอลลาร์ถูกขโมยไปจากโปรโตคอลการให้กู้ยืมแบบกระจายอำนาจของ Lendf.me และ Uniswap การแลกเปลี่ยนคริปโตแบบกระจายอำนาจ นักพัฒนาทั้งสองชุดได้สร้างส่วนเสริมของตัวเองที่ด้านบนของโปรโตคอล ERC-777 ทำให้สัญญาอัจฉริยะเสี่ยงต่อการโจมตีซ้ำ ในระหว่างการโจมตีดังกล่าวแฮกเกอร์จะถอนเงินซ้ำ ๆ จนกว่าธุรกรรมเดิมของพวกเขาจะได้รับการอนุมัติหรือถูกปฏิเสธ.

การแฮ็กอีกครั้งเกิดขึ้นในวันที่ 28 มิถุนายนอีกครั้งเนื่องจากมีช่องโหว่ของรหัส แฮกเกอร์ขโมยเงินกว่า 500,000 ดอลลาร์ใน ETH และ altcoins อื่น ๆ จากแพลตฟอร์ม Balancer ผ่านการใช้ประโยชน์จากกลไกการลดทอนโทเค็นที่ทำลาย 1% ของจำนวนธุรกรรมในการโอนเงินแต่ละครั้ง.

Ethereum ต้องตำหนิหรือไม่?

เห็นได้ชัดว่าโครงการ DeFi ของ Achilles เป็นจุดบกพร่องและช่องโหว่ในรหัสสัญญาอัจฉริยะ แต่ใครจะตำหนิเรื่องนี้กันแน่? เป็นนักพัฒนา DeFi ที่ไม่ได้ทดสอบหรือตรวจสอบโค้ดอย่างถูกต้องก่อนที่จะเปิดตัวแอปของพวกเขาหรือว่าเกิดข้อผิดพลาดกับสถาปัตยกรรมของ Ethereum ซึ่งหมายความว่ามีเพียงเล็กน้อยที่ขึ้นอยู่กับแพลตฟอร์ม?

ประการหนึ่งในขณะที่ Brian Kerr ซีอีโอของแพลตฟอร์มการให้ยืม DeFi Kava Labs เคยกล่าวกับ Cointelegraph ว่าสถาปัตยกรรมของบล็อกเชนของ Ethereum ไม่สามารถตอบสนองต่อความต้องการด้านความปลอดภัยของภาค DeFi ได้เนื่องจากการทดสอบจุดบกพร่องที่เป็นไปได้นั้นแทบจะเป็นไปไม่ได้ในภาษาการเขียนโปรแกรม Solidity.

อย่างไรก็ตามแพลตฟอร์ม DeFi ส่วนใหญ่สร้างขึ้นบน Ethereum blockchain framework ดังนั้นจึงกำลังทดลองกับซอร์สโค้ดดั้งเดิมโดยเฉพาะอย่างยิ่งหากผลของการทดลองเหล่านี้ไม่ได้รับการตรวจสอบอย่างละเอียดก่อนที่จะเปิดตัวเวอร์ชันสุดท้ายของผลิตภัณฑ์ซึ่งอาจเปิดประตูให้แฮกเกอร์ได้.

Shayan Eskandari วิศวกรรักษาความปลอดภัยและผู้ตรวจสอบบัญชีของ ConsenSys Diligence กล่าวกับ Cointelegraph ว่าการแฮ็ก DeFi ส่วนใหญ่เกิดขึ้นก่อนการเปลี่ยนแปลงที่เกิดขึ้นโดยนักพัฒนาไม่นานก่อนที่จะเปิดตัวแพลตฟอร์ม ตัวอย่างเช่น ERC-20 ไม่ได้ถูกนำไปใช้ด้วยวิธีมาตรฐานหรือการออกแบบโทเค็นใหม่บางอย่างได้เพิ่มฟังก์ชันการทำงานที่เปลี่ยนแปลงพฤติกรรมของโทเค็น ERC-20 ทำให้เกิดปัญหาที่ไม่อาจคาดเดาได้ จากข้อมูลของ Eskandari การเปลี่ยนแปลงดังกล่าวนำไปสู่การโจมตีพูล Balancer และการแฮ็ก Lendf.me.

สิ่งนี้ชี้ให้เห็นว่าในบางกรณีทีมที่ทำงานบนแพลตฟอร์มใดแพลตฟอร์มหนึ่งจะต้องถูกตำหนิ ในการสนทนากับ Cointelegraph Arnie Hill ซีอีโอของ Plutus DeFi ซึ่งเป็นผู้รวบรวม DeFi แบบเต็มสแต็กตั้งข้อสังเกตว่านักพัฒนา DeFi ส่วนใหญ่ไม่ให้ความสำคัญกับความปลอดภัยมากพอเนื่องจากพวกเขาอยู่ในช่วงเริ่มต้นของการพัฒนาผลิตภัณฑ์:“ ทุกวันนี้นักพัฒนากำลังจ่ายเงิน ให้ความสนใจมากขึ้นในด้านเทคนิคและการใช้ตัวพิมพ์ใหญ่โดยมุ่งเน้นที่วิธีการสร้างบริการให้กู้ยืมบนบล็อกเชนมากกว่าการรักษาความปลอดภัยของสัญญาอัจฉริยะ”

นอกจากนี้ความซับซ้อนของผลิตภัณฑ์ DeFi ยังเล่นตลกกับพวกเขา, ตาม กล่าวถึง Larry Sukernik นักลงทุนกลุ่มสกุลเงินดิจิทัล:“ คุณได้คนที่มีสมองขนาดใหญ่ที่จำเป็นต้องทำงาน และเมื่อนำไปใช้งานผลลัพธ์มักจะเป็นผลิตภัณฑ์ที่ซับซ้อนสวยงาม แต่ใช้ไม่ได้อย่างมหาศาล”

Charlie Lee ผู้สร้าง Litecoin (LTC) เคยอ้างว่าการกระจายอำนาจเป็นโทษสำหรับทุกสิ่ง การกระจายอำนาจเป็นสาเหตุของการแฮ็กโปรโตคอลตัวเลือก Opyn เนื่องจากทีมไม่สามารถควบคุมหรือปิดใช้งานชั่วคราวได้ในกรณีที่มีการโจมตี.

อย่างไรก็ตามการปรากฏตัวของแฮ็กเกอร์เป็นเหตุการณ์ที่เกิดขึ้นตามธรรมชาติเนื่องจากอุตสาหกรรมนี้ยังมีอายุน้อย อย่างไรก็ตามในขณะที่ภาค DeFi พัฒนาไปผู้พัฒนาควรตระหนักถึงความเสี่ยงด้านความปลอดภัยที่เพิ่มมากขึ้นและพยายามลดความเสี่ยงดังกล่าวตามฮิลล์:

“ การขยายตลาดจำเป็นต้องใช้กลไกการป้องกันที่จริงจังมากขึ้นและความร่วมมือกับหน่วยงานกำกับดูแลและผู้ตรวจสอบบัญชี ในตอนท้ายของวันนี้ไม่ได้เป็นเพียงเครือข่ายของ DApp อีกต่อไป แต่เป็นตลาดการเงินมูลค่าหลายพันล้านดอลลาร์ที่อยู่ในช่วงเริ่มต้นของการพัฒนาดังนั้นการแฮ็กจึงเป็นสิ่งที่หลีกเลี่ยงไม่ได้เช่นเดียวกับดิจิทัล อุตสาหกรรมการธนาคารเมื่อหลายปีก่อน” 

ตามล่าสุด รายงาน เผยแพร่โดย บริษัท วิจัย Dgen ร่วมกับโปรโตคอล DeFi แบบโอเพนซอร์ส Aave นับตั้งแต่โครงการ DeFi กลายเป็นเป้าหมายในการแฮ็กนักพัฒนาจึงเริ่มทำงานกับแซนด์บ็อกซ์และกรอบการทำงานที่ชัดเจนสำหรับการระงับข้อพิพาท นักวิเคราะห์ยังตั้งข้อสังเกตว่าตราบใดที่การปรับขนาดมีความสำคัญสูงสุดสำหรับนักพัฒนา DeFi ในตอนนี้การแฮ็กที่สำคัญที่คล้ายกับเหตุการณ์ DAO ในปี 2559 ก็มีแนวโน้มที่จะเกิดขึ้นอีกครั้ง.

ปัญหาที่เป็นไปได้อีกประการหนึ่งที่อยู่เบื้องหลังโครงการการเงินแบบกระจายอำนาจก็คือพวกเขาต้องพึ่งพา data oracles เพื่อส่งข้อมูลที่สำคัญเช่นราคาสินทรัพย์ การเติบโตอย่างรวดเร็วของแพลตฟอร์ม DeFi และผลิตภัณฑ์ที่มีความสามารถในการผสมผสานที่เป็นเอกลักษณ์ทำให้เกิดการพึ่งพาระหว่างกันและต้องการแหล่งข้อมูลการกำหนดราคาสินทรัพย์ที่มั่นคงดังที่ Paul Claudius ผู้ร่วมก่อตั้ง DIA ซึ่งเป็นแพลตฟอร์ม DeFi oracle แบบโอเพนซอร์สของสวิสกล่าว

“ ปัจจุบันโครงการ DeFi ส่วนใหญ่ไม่มีโซลูชันข้อมูลราคาที่โปร่งใสโอเพ่นซอร์สและเชื่อถือได้ หลายคนไม่เปิดเผยวิธีการที่ Oracle ใช้สำหรับข้อมูลการกำหนดราคาด้วยซ้ำ สิ่งนี้ก่อให้เกิดความเสี่ยงอย่างมากเนื่องจากผู้ไม่หวังดีสามารถใช้ประโยชน์จากช่องโหว่ทางเทคโนโลยีและวิธีการกับแหล่งข้อมูลที่ไม่น่าเชื่อถือได้”

การตรวจสอบการตรวจสอบสถานะและการประกันภัย

ทีม DeFi สามารถทำอะไรได้บ้างเพื่อลดความเสี่ยงด้านความปลอดภัยเนื่องจากมีผลิตภัณฑ์จำนวนมากที่รักษาความปลอดภัยระดับสูงสำหรับเงินของตนเองและผู้ใช้ได้สำเร็จ?

Marc Zeller หัวหน้าฝ่ายบูรณาการของ Aave เน้นย้ำถึงความสำคัญของการดำเนินขั้นตอนการตรวจสอบสถานะธุรกิจก่อนที่จะเพิ่มโทเค็นใหม่ในแพลตฟอร์ม DeFi เพื่อช่วยหลีกเลี่ยงการแฮ็กที่สำคัญภายในโปรโตคอล นอกจากนี้เขายังตั้งข้อสังเกตว่าโครงการที่เกี่ยวข้องกับการเงินแบบกระจายอำนาจอาจใช้บริการของ บริษัท ประกันภัยเพื่อปกป้องเงินทุนของผู้ใช้ต่อไปแม้ว่าจะไม่เพียงพอเสมอไป. 

Kain Warwick ผู้ก่อตั้งแพลตฟอร์มสินทรัพย์สังเคราะห์ Synthetix กล่าวถึงบทบาทของการประกันภัยในการต่อสู้กับแฮ็ค, กล่าวว่า การประกันภัย DeFi นั้นมีข้อ จำกัด อย่างมากโดยกล่าวเสริมว่า“ DeFi ยังคงมีความเสี่ยงที่สำคัญดังนั้นการประกันภัยมีแนวโน้มที่จะยังคงมีค่าใช้จ่ายสูงมากในระยะสั้น แต่เมื่อโปรโตคอลครบกำหนดค่าใช้จ่ายก็จะลดลง [… ] เพื่อให้ง่ายขึ้นและมีประโยชน์มากขึ้น ประกันที่จะเกิดขึ้น”

การประกันภัยเป็นสิ่งที่ดีหากมีการโจมตีเกิดขึ้นแล้ว แต่หากงานคือการป้องกันการตรวจสอบและติดตามธุรกรรมที่น่าสงสัยคือสิ่งที่โครงการ DeFi ต้องการเพื่อตรวจจับและแก้ไขช่องโหว่ในเครือข่ายก่อนที่แฮกเกอร์จะใช้ข้อบกพร่องของโค้ด นักวิเคราะห์ชี้ให้เห็นว่าการแลกเปลี่ยน crypto มีบทบาทสำคัญในการติดตามและล็อคสกุลเงินดิจิทัลที่อาจมาจากแพลตฟอร์มที่ถูกแฮ็ก.

ที่เกี่ยวข้อง: การแฮ็ก DeFi: สิ่งที่การเงินแบบกระจายอำนาจควรและไม่ควรเป็น?

ในขณะที่อุตสาหกรรมขนาดใหญ่นักพัฒนา DeFi มีความสำคัญมากขึ้นในการร่วมมือกับหน่วยงานกำกับดูแลและทำงานทั้งในแซนด์บ็อกซ์และกรอบงานที่ชัดเจนซึ่งอนุญาตให้มีการระงับข้อพิพาทและการอนุญาโตตุลาการหากเกิดการแฮ็ก ตามฮิลล์:

“ การขยายตลาดจำเป็นต้องใช้กลไกการป้องกันที่จริงจังมากขึ้นและความร่วมมือกับหน่วยงานกำกับดูแลและผู้ตรวจสอบบัญชี ในตอนท้ายของวันนี้ไม่ใช่แค่เครือข่าย DApps อีกต่อไป แต่เป็นตลาดการเงินมูลค่าหลายพันล้านดอลลาร์ที่อยู่ในช่วงเริ่มต้นของการพัฒนา”

ETH 2.0 จะเพิ่มความปลอดภัยมากขึ้นหรือไม่?

บางคนเชื่อว่านอกจากความสามารถในการปรับขยายแล้วการอัปเกรดเครือข่ายจะนำความปลอดภัยมาสู่ DeFi ในขณะที่คนอื่น ๆ กล่าวว่าการเปลี่ยน Ethereum 2.0 ไปใช้อัลกอริทึมการพิสูจน์การเดิมพันจะทำให้ภาค DeFi ตกอยู่ในอันตรายมากยิ่งขึ้น จากการวิจัยของนักวิเคราะห์ Tarun Chitra นักลงทุนของ Dragonfly Capital Haseeb Qureshi มา เพื่อสรุปว่าโปรโตคอล DeFi ทำงานสวนทางกับกลไกการรักษาความปลอดภัยเครือข่ายตามอัลกอริทึม PoS ปัญหาคือเงินที่ถูกล็อคในการให้กู้ยืม DeFi ไม่ได้เข้าร่วมในการเดิมพันดังนั้นจึงเป็นความปลอดภัย.

นักวิเคราะห์ของ MolochDao ได้รับการยืนยัน ว่าการย้ายไปที่ ETH 2.0 สามารถเปิดเวกเตอร์การโจมตีใหม่สำหรับแอปพลิเคชัน DeFi อย่างไรก็ตามมีด้านบวกคือการโจมตี ETH 2.0 นั้นง่ายต่อการปรับขนาดมากกว่าการโจมตีด้วย ETH 1.0.

ที่เกี่ยวข้อง: นำไปใช้ประโยชน์ได้ดี: Ethereum รวบรวมตัวเลขที่จริงจังเพื่อกำหนดเกณฑ์มาตรฐาน

ก่อนการเปิดตัวอุตสาหกรรม DeFi จะต้องเผชิญกับการโจมตีใหม่ ๆ มากมายนักวิเคราะห์ของ Consensys Tanner Hoban และ Tom Borgers โดยเฉพาะอย่างยิ่งในช่วงแรกของการเปลี่ยนไปใช้ Ethereum 2.0 เหตุผลก็คือในช่วงเริ่มต้นของการเปลี่ยนแปลงผู้ตรวจสอบความถูกต้องจะต้องปิดกั้น ETH ของตนจนกว่าห่วงโซ่การพิสูจน์การทำงานจะรวมเข้ากับห่วงโซ่การพิสูจน์การมีส่วนได้ส่วนเสียอย่างสมบูรณ์ สิ่งนี้จะลดสภาพคล่องและตามที่ผู้เขียนศึกษาสามารถนำไปสู่การรวมศูนย์.

ดังนั้นจึงมีแนวโน้มว่าผลิตภัณฑ์ DeFi จะต้องเผชิญกับการแฮ็กครั้งใหญ่อีกครั้ง แต่ด้วยการพัฒนาเครื่องมือประกันและการตรวจสอบรวมถึงการเข้าสู่ตลาดโดยหน่วยงานกำกับดูแลระดับโลกในที่สุดก็จะปลอดภัยมากขึ้น Ethereum 2.0 อาจเพิ่มการบินของตัวเองลงในครีม แต่ด้วยการเปิดตัวรุ่นใหม่อย่างช้าๆและค่อยเป็นค่อยไปและการทดสอบที่เพียงพอความเสี่ยงมีแนวโน้มที่จะลดลง.