Ο αποκεντρωμένος χρηματοοικονομικός τομέας συνεχίζει να κερδίζει πρωτοφανή δημοτικότητα καθώς η συνολική αξία των περιουσιακών στοιχείων που είναι κλειδωμένα σε προϊόντα DeFi διπλασιάστηκε σε πάνω από 4 δισεκατομμύρια δολάρια τον Ιούλιο και τώρα είναι πλησιάζοντας το σήμα των 5 δισεκατομμυρίων δολαρίων.
Ταυτόχρονα, η αυξημένη ζήτηση για τέτοιες εφαρμογές μεταξύ των χρηστών και των προγραμματιστών το καθιστά στόχο για κακούς παράγοντες, δεδομένου του δελεασμού της άμεσης πρόσβασης σε χρήματα. Τους τελευταίους μήνες, οι χάκερ έχουν κλέψει πάνω από 27 εκατομμύρια δολάρια από έργα DeFi και αναμένεται να προκύψουν περισσότερες επιθέσεις στο εγγύς μέλλον. Εάν συμβαίνει αυτό, ο τομέας DeFi βασίζεται έντονα στο Ethereum για ασφάλεια και η εκκίνηση του ETH 2.0 θα φέρει περισσότερες βελτιώσεις σε αυτόν τον τομέα?
Οι εφαρμογές DeFi είναι νέες ανταλλαγές κρυπτογράφησης για χάκερ
Ενώ το 2018-2019, οι ανταλλαγές κρυπτογράφησης ήταν ο νούμερο ένα στόχος για επιθέσεις χάκερ, το 2020, είναι η αποκεντρωμένη χρηματοοικονομική αγορά που βρίσκεται στο ραντάρ. Αυτό καθίσταται σε μεγάλο βαθμό εφικτό από ευπάθειες στις έξυπνες συμβάσεις πλατφορμών και από τεχνικά ατελείς μηχανισμούς ασφαλείας. Ταυτόχρονα, όπως δείχνει το ιστορικό των hacks, οι εισβολείς χρησιμοποιούν όχι μόνο ευπάθειες αλλά και διάφορες νόμιμες δυνατότητες του blockchain για την πραγματοποίηση επιθέσεων.
Έτσι οι hackers επιτέθηκαν στο Opyn στις αρχές Αυγούστου, ένα πρωτόκολλο που ειρωνικά ισχυρίζεται ότι ασχολείται με την προστασία DeFi. Περίπου 371.000 $ κλέφτηκαν λόγω εκμετάλλευσης του εγγενούς διακριτικού του έργου, με το οποίο εφαρμόστηκε μια επίθεση διπλής δαπάνης στο Ethereum put options, παρέχοντας πρόσβαση στα χρήματα των χρηστών.
Προηγουμένως, μια ευπάθεια στον κώδικα έξυπνης σύμβασης οδήγησε σε ένα άλλο hack του έργου DeFi, όπου κλέφθηκαν 25 εκατομμύρια $ από το αποκεντρωμένο πρωτόκολλο δανεισμού Lendf.me και την αποκεντρωμένη ανταλλαγή κρυπτογράφησης Uniswap. Και τα δύο σύνολα προγραμματιστών δημιούργησαν τα δικά τους πρόσθετα πάνω από το πρωτόκολλο ERC-777, καθιστώντας τα έξυπνα συμβόλαια ευάλωτα σε επιθέσεις επανεμφάνισης. Κατά τη διάρκεια μιας τέτοιας επίθεσης, οι χάκερ αποσύρουν χρήματα επανειλημμένα έως ότου εγκριθεί ή απορριφθεί η αρχική τους συναλλαγή.
Ένα άλλο hack έγινε στις 28 Ιουνίου, και πάλι λόγω ευπάθειας κώδικα. Οι χάκερ έκλεψαν πάνω από 500.000 δολάρια σε ETH και άλλα altcoins από την πλατφόρμα Balancer μέσω μιας εκμετάλλευσης του μηχανισμού αποπληθωρισμού token που καταστρέφει το 1% του ποσού της συναλλαγής σε κάθε μεταφορά χρημάτων.
Φταίει το Ethereum?
Προφανώς, η πτέρνα του Αχιλλέα των έργων DeFi είναι σφάλματα και ευπάθειες στους έξυπνους κωδικούς συμβολαίου, αλλά τι ή ποιος ακριβώς φταίει για αυτό; Είναι οι προγραμματιστές DeFi που δεν δοκιμάζουν σωστά ή ελέγχουν τον κώδικα πριν ξεκινήσουν τις εφαρμογές τους ή το σφάλμα έγκειται στην αρχιτεκτονική του Ethereum, που σημαίνει ότι λίγο εξαρτάται από τις πλατφόρμες?
Από τη μία πλευρά, όπως είπε προηγουμένως ο Brian Kerr, Διευθύνων Σύμβουλος της πλατφόρμας δανεισμού DeFi, Kava Labs, στην Cointelegraph, η αρχιτεκτονική του Ethereum blockchain δεν είναι ικανή να ανταποκριθεί στις απαιτήσεις ασφαλείας του τομέα DeFi, επειδή η δοκιμή πιθανών σφαλμάτων είναι σχεδόν αδύνατη στη γλώσσα προγραμματισμού Solidity.
Ωστόσο, οι περισσότερες πλατφόρμες DeFi είναι κατασκευασμένες στο πλαίσιο blockchain Ethereum και, ως εκ τούτου, πειραματίζονται με τον αρχικό πηγαίο κώδικα, ειδικά εάν το αποτέλεσμα αυτών των πειραμάτων δεν έχει ελεγχθεί διεξοδικά πριν από την κυκλοφορία της τελικής έκδοσης του προϊόντος, ανοίγοντας δυνητικά πόρτες για χάκερ.
Ο Shayan Eskandari, μηχανικός ασφαλείας και ελεγκτής στο ConsenSys Diligence, δήλωσε στο Cointelegraph ότι προηγήθηκαν οι περισσότερες από τις hacks DeFi από αλλαγές που έγιναν από προγραμματιστές λίγο πριν από την έναρξη της πλατφόρμας. Για παράδειγμα, το ERC-20 δεν υλοποιήθηκε με τυπικό τρόπο ή ορισμένα νέα σχέδια διακριτικών πρόσθεσαν λειτουργίες που άλλαξαν τη συμπεριφορά του διακριτικού ERC-20, προκαλώντας απρόβλεπτα προβλήματα. Σύμφωνα με τον Eskandari, τέτοιες αλλαγές οδήγησαν σε επιθέσεις στο Balancer pool και στο hack του Lendf.me.
Αυτό υποδηλώνει ότι σε ορισμένες περιπτώσεις, οι ομάδες που εργάζονται σε συγκεκριμένες πλατφόρμες ευθύνονται. Σε μια συνομιλία με την Cointelegraph, ο Arnie Hill, Διευθύνων Σύμβουλος της Plutus DeFi – ένας αθροιστής DeFi πλήρους στοίβας – σημείωσε ότι οι περισσότεροι προγραμματιστές της DeFi δεν δίνουν αρκετή προσοχή στην ασφάλεια, καθώς βρίσκονται στο αρχικό στάδιο της ανάπτυξης προϊόντων: «Σήμερα οι προγραμματιστές πληρώνουν περισσότερη προσοχή στην τεχνική πλευρά και την κεφαλαιοποίηση, εστιάζοντας στον τρόπο δημιουργίας υπηρεσιών δανεισμού σε blockchain, παρά στην ασφάλεια έξυπνων συμβάσεων. “
Επιπλέον, η πολυπλοκότητα των προϊόντων DeFi παίζει ένα σκληρό αστείο μαζί τους, σύμφωνα με στον Larry Sukernik, επενδυτή Digital Currency Group: «Παίρνετε ανθρώπους με μεγάλο μυαλό που πρέπει να εργαστούν. Και όταν δουλεύουν, το αποτέλεσμα είναι συχνά ένα σύνθετο, λαμπρό, αλλά μαζικά άχρηστο προϊόν. “
Ο Τσάρλι Λι, ο δημιουργός του Litecoin (LTC), ισχυρίστηκε προηγουμένως ότι η αποκέντρωση ευθύνεται για τα πάντα. Η αποκέντρωση ήταν στην πραγματικότητα ο λόγος για την παραβίαση του πρωτοκόλλου επιλογών Opyn, καθώς η ομάδα δεν μπορούσε να ελέγξει ή να την απενεργοποιήσει προσωρινά σε περίπτωση επίθεσης.
Ωστόσο, η παρουσία των χάκερ είναι φυσικό φαινόμενο, δεδομένου ότι ο κλάδος είναι νέος. Ωστόσο, καθώς ο τομέας DeFi εξελίσσεται, οι προγραμματιστές του θα πρέπει να γνωρίζουν υπερβολικά τους αυξανόμενους κινδύνους ασφαλείας και να προσπαθούν να τους μειώσουν, σύμφωνα με τη Hill:
«Η κλιμάκωση της αγοράς απαιτεί τη χρήση πιο σοβαρών μηχανισμών προστασίας και συνεργασίας με ρυθμιστικές αρχές και ελεγκτές. Στο τέλος της ημέρας, αυτό δεν είναι πλέον απλώς ένα δίκτυο DApps, αλλά μια χρηματοπιστωτική αγορά πολλών δισεκατομμυρίων δολαρίων που βρίσκεται στο αρχικό στάδιο της ανάπτυξής της και, ως εκ τούτου, οι hacks είναι αναπόφευκτες, όπως ήταν και με το ψηφιακό τραπεζική βιομηχανία πριν από μερικά χρόνια. ”
Σύμφωνα με τα τελευταία κανω ΑΝΑΦΟΡΑ Δημοσιεύθηκε από την ερευνητική εταιρεία Dgen σε συνεργασία με το πρωτόκολλο DeFi ανοιχτού κώδικα Aave, από τότε που τα έργα DeFi έχουν γίνει στόχοι πειρατείας, οι προγραμματιστές άρχισαν να εργάζονται σε sandbox και σαφή πλαίσια για την επίλυση διαφορών. Οι αναλυτές σημείωσαν επίσης ότι, όσο η κλιμάκωση είναι ύψιστης προτεραιότητας για τους προγραμματιστές της DeFi αυτή τη στιγμή, σημαντικές παραβιάσεις παρόμοιες με το περιστατικό DAO του 2016 πιθανότατα θα συμβούν ξανά.
Ένα άλλο πιθανό ζήτημα πίσω από αποκεντρωμένα χρηματοοικονομικά έργα είναι ότι βασίζονται σε δεδομένα χρηστών για την παροχή κρίσιμων δεδομένων όπως οι τιμές των περιουσιακών στοιχείων. Η επιταχυνόμενη ανάπτυξη πλατφορμών και προϊόντων DeFi με τη μοναδική τους συνθεσιμότητα δημιουργεί αλληλεξαρτήσεις και απαιτεί μια σταθερή πηγή δεδομένων τιμολόγησης περιουσιακών στοιχείων, όπως εξήγησε ο Paul Claudius, συνιδρυτής της DIA – μιας ελβετικής πλατφόρμας DeFi ανοιχτού κώδικα – που είπε στο Cointelegraph:
«Επί του παρόντος, τα περισσότερα έργα DeFi στερούνται λύσης δεδομένων τιμολόγησης που είναι διαφανής, ανοιχτού κώδικα και αξιόπιστη. Πολλοί δεν μοιράζονται καν τις μεθοδολογίες που χρησιμοποιούνται από το oracle για την τιμολόγηση δεδομένων. Αυτό δημιουργεί σημαντικούς κινδύνους καθώς οι κακοί παράγοντες μπορούν να εκμεταλλευτούν τόσο τις τεχνολογικές όσο και τις μεθοδολογικές ευπάθειες με αναξιόπιστες πηγές δεδομένων. “
Έλεγχος, δέουσα επιμέλεια και ασφάλιση
Λοιπόν, υπάρχει κάτι που μπορούν να κάνουν οι ομάδες DeFi για τον μετριασμό των κινδύνων ασφαλείας, δεδομένου ότι υπάρχουν πολλά προϊόντα που διατηρούν επιτυχώς υψηλό επίπεδο ασφάλειας για τα δικά τους και τα χρήματα χρηστών?
Ο Marc Zeller, επικεφαλής ενσωμάτωσης στην Aave, τόνισε τη σημασία της διεξαγωγής διαδικασιών δέουσας επιμέλειας πριν από την προσθήκη ενός νέου διακριτικού σε μια πλατφόρμα DeFi για να αποφευχθούν σημαντικές παραβιάσεις στα πρωτόκολλα. Σημείωσε επίσης ότι τα έργα που αφορούν την αποκεντρωμένη χρηματοδότηση ενδέχεται να χρησιμοποιούν τις υπηρεσίες ασφαλιστικών εταιρειών για την περαιτέρω προστασία των χρημάτων χρηστών, αν και αυτό δεν είναι πάντα αρκετό.
Μιλώντας για το ρόλο της ασφάλισης στην καταπολέμηση των παραβιάσεων, ο Kain Warwick, ιδρυτής της πλατφόρμας συνθετικών περιουσιακών στοιχείων Synthetix, είπε ότι η ασφάλιση DeFi είναι πολύ περιορισμένη, προσθέτοντας: «Το DeFi εξακολουθεί να έχει σημαντικό κίνδυνο ουράς, οπότε η ασφάλιση είναι πιθανό να παραμείνει πολύ δαπανηρή βραχυπρόθεσμα, αλλά καθώς τα πρωτόκολλα ωριμάζουν, το κόστος θα πρέπει να μειωθεί […] επιτρέποντας απλούστερο και πιο χρήσιμο ασφάλιση για να εμφανιστεί. “
Είναι ασφαλές να υπάρχει αν η επίθεση έχει ήδη συμβεί, αλλά αν η αποστολή είναι να την αποτρέψει, ο έλεγχος και η παρακολούθηση ύποπτων συναλλαγών είναι αυτό που χρειάζονται τα έργα DeFi προκειμένου να εντοπίσουν και να διορθώσουν ευπάθειες στο δίκτυο προτού εκμεταλλευτούν ατέλειες κώδικα από τους χάκερ. Οι αναλυτές επισημαίνουν ότι οι ανταλλαγές κρυπτογράφησης παίζουν σημαντικό ρόλο στην παρακολούθηση και το κλείδωμα κρυπτονομισμάτων που μπορεί να προέρχονται από παραβιασμένες πλατφόρμες.
Σχετικά: Το DeFi Hack: Τι αποκεντρωμένη χρηματοδότηση πρέπει και δεν πρέπει να είναι?
Καθώς ο κλάδος κλιμακώνεται, γίνεται όλο και πιο σημαντικό για τους προγραμματιστές της DeFi να συνεργάζονται με ρυθμιστές και να εργάζονται τόσο σε sandbox όσο και σε σαφή πλαίσια που επιτρέπουν την επίλυση των διαφορών και τη διαιτησία σε περίπτωση hacking. Σύμφωνα με τον Hill:
«Η κλιμάκωση της αγοράς απαιτεί τη χρήση πιο σοβαρών μηχανισμών προστασίας και συνεργασίας με ρυθμιστικές αρχές και ελεγκτές. Στο τέλος της ημέρας, αυτό δεν είναι πλέον απλώς ένα δίκτυο DApps, αλλά μια χρηματοπιστωτική αγορά πολλών δισεκατομμυρίων δολαρίων που βρίσκεται στο αρχικό στάδιο της ανάπτυξής της. “
Το ETH 2.0 θα προσφέρει περισσότερη ασφάλεια?
Ορισμένοι πιστεύουν ότι, παράλληλα με την επεκτασιμότητα, οι αναβαθμίσεις δικτύου θα φέρουν ασφάλεια στο DeFi, ενώ άλλοι λένε ότι η μετάβαση του Ethereum 2.0 στον αλγόριθμο απόδειξης πονταρίσματος θα θέσει τον τομέα DeFi σε ακόμη μεγαλύτερο κίνδυνο. Με βάση την έρευνα του αναλυτή Tarun Chitra, του επενδυτή Dragonfly Capital, Haseeb Qureshi ήρθε στο συμπέρασμα ότι τα πρωτόκολλα DeFi έρχονται σε αντίθεση με τον μηχανισμό ασφάλειας δικτύου που βασίζεται στον αλγόριθμο PoS. Το πρόβλημα είναι ότι τα χρήματα που είναι κλειδωμένα στο δανεισμό DeFi δεν συμμετέχουν στο στοίχημα και, επομένως, αποτελούν ασφάλεια.
Αναλυτές του MolochDao επιβεβαιωμένος ότι η μετάβαση στο ETH 2.0 θα μπορούσε να ανοίξει νέους φορείς επίθεσης για εφαρμογές DeFi. Ωστόσο, υπάρχει μια θετική πλευρά – οι επιθέσεις στο ETH 2.0 είναι ευκολότερες σε κλίμακα από τις επιθέσεις στο ETH 1.0.
Σχετικά: Χρήση: Το Ethereum συγκεντρώνει σοβαρούς αριθμούς για τον καθορισμό σημείων αναφοράς
Πριν από την έναρξη, η βιομηχανία DeFi θα αντιμετωπίσει πολλές νέες επιθέσεις, σύμφωνα με τους αναλυτές της Consensys, Tanner Hoban και Tom Borgers, ειδικά κατά τις πρώτες φάσεις της μετάβασης στο Ethereum 2.0. Ο λόγος είναι ότι στην αρχή της μετάβασης, οι επικυρωτές πρέπει να μπλοκάρουν το ETH τους έως ότου η αλυσίδα απόδειξης της εργασίας συγχωνευτεί πλήρως με την αλυσίδα απόδειξης-πονταρίσματος. Αυτό θα μειώσει τη ρευστότητα και, σύμφωνα με τους συγγραφείς της μελέτης, μπορεί να οδηγήσει σε συγκεντρωτισμό.
Επομένως, είναι πιθανό ότι τα προϊόντα DeFi θα αντιμετωπίσουν ξανά μεγάλες παραβιάσεις, αλλά με την ανάπτυξη εργαλείων ασφάλισης και ελέγχου, καθώς και την είσοδο στην αγορά από παγκόσμιους ρυθμιστικούς φορείς, θα γίνει τελικά ασφαλέστερο. Το Ethereum 2.0 μπορεί να προσθέσει τη δική του μύγα στην αλοιφή, αλλά με αργή και σταδιακή ανάπτυξη του νέου μοντέλου και επαρκείς δοκιμές, οι κίνδυνοι είναι πιθανό να ελαχιστοποιηθούν.