defi.jpg

Разом із експоненціальним ростом децентралізованих крипто-проектів, неймовірними темпами зростає і головна проблема DeFi-сектору — ці проекти постійно ламають хакери.

Зломи DeFi стають дедалі гіршими, і наразі немає чітких рішень що ж з цим пробити. Згідно зі звітом компанії з безпеки блокчейнів PeckShield, сума грошей, отримана від злому DeFi вже за перші чотири місяці 2022 року перевищіла суму отриману за весь 2021 рік (1,55 мільярдів доларів).

Перший квартал 2022 року виявився найгіршим за всю історію галузі, а найбільший внесок зробили: хак Ronin Bridge (650 мільйонів доларів), експлойт Wormhole (320 млн) і атака на Beanstalk Farms (180 млн). Невеликі хаки трапляються по декілька разів на місяць, і ми вже порядком задовбалися писати про кожен із них в нашому телеграм каналі **Крипто NEWS**.

Найбільші хаки 2022 року були здійснені зловмисниками, які виявили вразливості в смарт-контрактах і протоколах, особливо в мостах між блокчейнами, а також скористалися некомпетеністю самих розробників.

Ми спробували розібратися завдяки чому атаки на DeFi-проекти стали ціллю номер один для хакерів.


Відкритий код

Зростаюча хвиля цифрових крадіжок загрожує підірвати довіру до криптовалюти загалом і обрушити гнів регуляторів на індустрію. Відкритий вихідний код мав вирішити проблему довіри до децентралізованих проектів — але іронічно став однією з найбільших проблем.

Оскільки код блокчейну зазвичай є загальнодоступним, він також доступний і хакерам для пошуку вразливостей та експлойтів протоколу. Мотивація хакерів очевидно вища за мотивацію пересічного програміста, бо на кону величезні гроші.

Це дозволяє їм завантажити та запустити власну повну копію блокчейна, а потім повністю налаштувати процес атаки так, щоб експлойт ідеально та непомітно спрацював вже в реальній мережі.

Щоб запобігти цьому, проекти повинні використовувати проактивний, наскрізний підхід до безпеки. Це означає детальну перевірку всього коду, кожного рядка коду смарт-контрактів, як перед запуском будь-якої нової функції, так і взагалі при кожній зміні коду. Це вочевидь занадто складно та дорого для більшості проектів, що хочуть швидко розвиватися за принципом “move fast and break things”.


Помилки кодування

smort.jpg

Смарт-контракти є відносно новою концепцією у світі IT. Незважаючи на свою відносну простоту, принципи програмування смарт-контрактів вимагають дотримання суворих стандартів. Розробники часто просто не володіють необхідними навичками кодування професійних інженерів безпеки і допускають грубі помилки, які призводять до величезних втрат для користувачів.

Аудит безпеки усуває лише частину цього виду ризику, оскільки більшість аудиторських компаній на ринку не несуть жодної відповідальності за якість виконаної роботи і зацікавлені лише у фінансовому аспекті. Сотні невеликих проектів були зламані саме через помилки кодування смарт-контрактів.