Bảng tỷ giá 
Bạn đang ở:
121 
Khi lĩnh vực DeFi tiếp tục thu hút tiền và người dùng, những kẻ xấu từ khắp nơi trên thế giới tiếp tục xem nó như một mục tiêu hấp dẫn đã chín muồi để hái và được bảo vệ kém.
Trong vài tháng qua, tôi đã theo dõi một số khai thác đáng chú ý nhất của các giao thức DeFi và ít nhất bảy trong số đó dường như là kết quả của các sai sót trong hợp đồng thông minh.
Ví dụ: tin tặc tấn công và cướp Wormhole, đánh cắp hơn 3 triệu USD, Qubit Finance (80 triệu USD), Meter (4,4 triệu USD), Deus (3 triệu USD), TreasureDAO (hơn 100 NFT) và cuối cùng là Agave and Hundred Finance cộng lại, tổng cộng đã mất 11 triệu đô la. Tất cả các cuộc tấn công này đều dẫn đến việc đánh cắp một lượng tiền khá lớn, gây thiệt hại chính cho các dự án.
Nhiều giao thức được nhắm mục tiêu đã chứng kiến sự mất giá của tiền điện tử của họ, bị người dùng không tin tưởng, những lời chỉ trích liên quan đến tính bảo mật của DeFi và hợp đồng thông minh, và những hậu quả tiêu cực tương tự.
Những kiểu khai thác nào đã xảy ra trong các cuộc tấn công?
Nâng cao giá trị, mỗi tình huống này là duy nhất và các loại khai thác khác nhau được sử dụng để giải quyết từng dự án riêng lẻ, tùy thuộc vào các lỗ hổng và sai sót của chúng. Ví dụ bao gồm lỗi logic, cuộc tấn công lần đầu tiên, cuộc tấn công flashloan với thao túng giá và hơn thế nữa. Tôi tin rằng đây là kết quả của việc các giao thức DeFi ngày càng trở nên phức tạp và khi chúng xảy ra, độ phức tạp của mã khiến việc loại bỏ tất cả các sai sót ngày càng khó khăn hơn.
Hơn nữa, tôi nhận thấy hai điều khi phân tích từng sự cố này. Điều đầu tiên là tin tặc đã cố gắng lấy đi số tiền khổng lồ mỗi lần - trị giá hàng triệu đô la tiền điện tử.
Ngày trả lương này khuyến khích các hacker dành bất kỳ thời gian nào cần thiết để nghiên cứu các giao thức, thậm chí hàng tháng tại một thời điểm, vì họ biết phần thưởng sẽ xứng đáng. Điều đó có nghĩa là các tin tặc có động cơ dành nhiều thời gian hơn để tìm kiếm các sai sót so với các kiểm toán viên.
Điều nổi bật thứ hai là, trong một số tình huống, việc hack thực sự cực kỳ đơn giản. Lấy cuộc tấn công Hundred Finance làm ví dụ. Dự án đã bị tấn công bằng cách sử dụng một lỗi nổi tiếng có thể được tìm thấy trong các nhánh phức hợp nếu Token được thêm vào giao thức. Tất cả những gì hacker cần làm là đợi cho đến khi một trong những Token này được thêm vào Hundred Finance. Sau đó, tất cả những gì cần làm là làm theo một vài bước đơn giản để sử dụng khai thác để nhận tiền.
Các dự án DeFi có thể làm gì để bảo vệ chính họ?
Về phía trước, điều tốt nhất mà các dự án này có thể làm để bảo vệ mình khỏi các tác nhân xấu là tập trung vào các cuộc kiểm toán. Càng chuyên sâu, càng tốt và được tiến hành bởi các chuyên gia giàu kinh nghiệm, những người biết những điều cần chú ý. Tuy nhiên, có một điều khác mà các dự án có thể làm, ngay cả trước khi sử dụng đến các cuộc kiểm toán, và đó là đảm bảo rằng chúng có một kiến trúc tốt do các nhà phát triển có trách nhiệm tạo ra.
Điều này đặc biệt quan trọng vì hầu hết các dự án blockchain đều là mã nguồn mở, có nghĩa là mã của chúng có xu hướng được sao chép và sử dụng lại. Nó tăng tốc mọi thứ trong quá trình phát triển và mã miễn phí để sử dụng.
Vấn đề là nếu nó bị lỗi và nó bị sao chép trước khi các nhà phát triển ban đầu tìm ra các lỗ hổng và sửa chữa chúng. Ngay cả khi họ thông báo và triển khai bản sửa lỗi, những người đã sao chép nó có thể không thấy tin tức và mã của họ vẫn dễ bị tấn công.
Kiểm toán thực sự có thể giúp được bao nhiêu?
Hợp đồng thông minh hoạt động như các chương trình chạy trên công nghệ blockchain. Như vậy, có thể chúng bị sai sót và chúng có lỗi. Như tôi đã đề cập trước đây, hợp đồng càng phức tạp - khả năng một hoặc hai sai sót lọt qua test của nhà phát triển càng lớn.
Thật không may, có nhiều tình huống không có giải pháp dễ dàng để khắc phục những sai sót này, đó là lý do tại sao các nhà phát triển nên dành thời gian của họ và đảm bảo rằng mã được thực hiện đúng cách và các sai sót được phát hiện ngay lập tức hoặc ít nhất là càng sớm càng tốt.
Đây là lúc các cuộc test bắt đầu xảy ra, vì nếu bạn test mã và ghi lại tiến trình phát triển của nó và các thử nghiệm một cách đầy đủ, bạn có thể sớm loại bỏ được các vấn đề còn tồn tại.
Tất nhiên, ngay cả các cuộc kiểm toán cũng không thể đảm bảo 100% rằng sẽ không có vấn đề gì với mã. Không ai có thể. Không phải ngẫu nhiên mà tin tặc cần nhiều tháng để tìm ra lỗ hổng nhỏ nhất mà họ có thể sử dụng để làm lợi thế - bạn không thể tạo ra mã hoàn hảo và làm cho nó trở nên hữu ích, đặc biệt là khi nói đến công nghệ mới.
Các cuộc kiểm toán làm giảm số lượng vấn đề, nhưng vấn đề thực sự là nhiều dự án bị tin tặc tấn công thậm chí không hề có bất kỳ cuộc kiểm toán nào.
Vì vậy, đối với bất kỳ nhà phát triển và chủ sở hữu dự án nào vẫn đang trong quá trình phát triển cần nhớ rằng bảo mật không đến từ việc vượt qua test. Tuy nhiên, nó chắc chắn bắt đầu từ đó. Làm việc trên mã của bạn; đảm bảo rằng nó có một kiến trúc được thiết kế tốt và các nhà phát triển khéo léo và siêng năng làm việc trên nó.
Đảm bảo mọi thứ đều được test và ghi chép đầy đủ, đồng thời sử dụng tất cả các tài nguyên theo ý của bạn. Ví dụ, tiền thưởng lỗi là một cách tuyệt vời để mọi người theo quan điểm của tin tặc test mã của bạn và góc nhìn mới mẻ từ một người đang tìm cách xâm nhập có thể là vô giá trong việc bảo mật dự án của bạn.
Bài đăng xuất hiện đầu tiên trên WebGiaCoin.
Theo Cryptoslate
|
|
Tags: DeFi, Bài đăng của khách, Tin tặc,
