Come può essere violato il protocollo DeFi?

[ad_1]

Il settore finanziario decentralizzato sta crescendo a un ritmo allarmante. Tre anni fa, il valore totale bloccato in DeFi era di soli 800 milioni di dollari USA.A febbraio 2021, questo numero è aumentato a 40 miliardi di dollari USA; ad aprile 2021, ha raggiunto il traguardo di 80 miliardi di dollari USA; ora In piedi Più di 140 miliardi di dollari USA. Una crescita così rapida in un nuovo mercato ha attirato l’attenzione di hacker e truffatori di ogni ceto sociale.

Secondo un rapporto di una società di ricerca cripto, dal 2019, Il dipartimento DeFi ha perso circa $ 284,9 milioni Hacker e altri attacchi di vulnerabilità. Dal punto di vista di un hacker, hackerare l’ecosistema blockchain è un mezzo ideale e ricco. Poiché tali sistemi sono anonimi, possono perdere denaro e qualsiasi hacking può essere testato e modificato all’insaputa della vittima. Nei primi quattro mesi del 2021 le perdite sono state pari a 240 milioni di dollari USA. E questi sono solo casi noti. Stimiamo che la perdita effettiva sia di miliardi di dollari.

relazionato: Una panoramica dell’hacking di criptovalute, degli exploit e delle rapine nel 2020

Come vengono rubati i soldi dal protocollo DeFi? Abbiamo analizzato dozzine di attacchi di hacking e abbiamo trovato i problemi più comuni che hanno portato ad attacchi di hacking.

Uso improprio di accordi di terze parti ed errori di logica aziendale

Qualsiasi attacco inizia con l’analisi della vittima. La tecnologia Blockchain offre molte opportunità per la regolazione automatica e la simulazione degli scenari degli hacker. Per rendere l’attacco veloce e invisibile, l’attaccante deve avere le necessarie capacità di programmazione e conoscenza di come funzionano i contratti intelligenti. Il tipico toolkit dell’hacker consente loro di scaricare la propria copia completa della blockchain dalla versione principale della rete e quindi regolare completamente il processo di attacco come se la transazione avesse avuto luogo nella rete reale.

Successivamente, l’attaccante deve studiare il modello di business del progetto e i servizi esterni utilizzati. Errori nella logica aziendale e nei modelli matematici dei servizi di terze parti sono i due problemi più comunemente usati dagli hacker.

Gli sviluppatori di contratti intelligenti di solito hanno bisogno di dati più rilevanti durante il trading di quelli che potrebbero avere in un dato momento. Pertanto, sono costretti a utilizzare servizi esterni, ad esempio oracoli. Questi servizi non sono progettati per operare in un ambiente trustless, quindi il loro utilizzo implica rischi aggiuntivi. Secondo le statistiche per un anno solare (dall’estate del 2020), un determinato tipo di rischio rappresenta la percentuale più piccola di perdite: ci sono stati solo 10 attacchi di hacking, che hanno causato una perdita totale di circa 50 milioni di dollari.

relazionato: La fondamentale necessità di aggiornare il protocollo di sicurezza blockchain

Errore di codifica

Contratto intelligente È un concetto relativamente nuovo nel mondo IT. Nonostante la loro semplicità, il linguaggio di programmazione per i contratti intelligenti richiede un paradigma di sviluppo completamente diverso. Gli sviluppatori di solito non hanno affatto le competenze di codifica necessarie e commetteranno alcuni gravi errori, che porteranno enormi perdite agli utenti.

Gli audit di sicurezza eliminano solo alcuni di questi rischi, perché la maggior parte delle società di audit sul mercato non si assumono alcuna responsabilità per la qualità del lavoro che svolgono e sono interessati solo agli aspetti finanziari. Più di 100 progetti sono stati violati a causa di errori di codifica, con una perdita totale di circa 500 milioni di dollari. Un esempio ovvio è dForce Hacking 19 aprile 2020. Gli hacker hanno utilizzato una vulnerabilità nello standard token ERC-777 per combinarsi con attacchi rientranti e sono fuggiti da $ 25 milioni.

relazionato: L’audit predefinito dei progetti DeFi è una condizione necessaria per lo sviluppo del settore

Prestiti lampo, manipolazione dei prezzi e attacchi dei minatori

Le informazioni fornite allo smart contract sono rilevanti solo quando la transazione viene eseguita. Per impostazione predefinita, il contratto non è immune da potenziali manipolazioni esterne delle informazioni in esso contenute. Questo rende possibile una serie di attacchi.

Un prestito flash è un prestito senza garanzie, ma è obbligato a restituire la criptovaluta presa in prestito nella stessa transazione. Se il mutuatario non restituisce i fondi, la transazione verrà annullata (ripresa). Questo tipo di prestito consente ai mutuatari di ricevere grandi quantità di criptovaluta e utilizzarle per i propri scopi. Di solito, gli attacchi ai prestiti lampo comportano la manipolazione dei prezzi. Un utente malintenzionato può prima vendere una grande quantità di token presi in prestito in una transazione, riducendone così il prezzo, e quindi eseguire una serie di operazioni con un valore del token molto basso prima di riacquistarlo.

Un attacco minerario è simile a un attacco di prestito lampo su una blockchain basato su un algoritmo di consenso proof-of-work. Questo tipo di attacco è più complicato e costoso, ma può aggirare alcuni dei livelli protettivi dei prestiti flash. Funziona così: l’attaccante affitta il potere di mining e forma un blocco contenente solo le transazioni di cui ha bisogno. All’interno di un determinato blocco, possono prima prendere in prestito i token, manipolare il prezzo e quindi restituire i token presi in prestito. Poiché l’attaccante forma autonomamente le transazioni che entrano nel blocco e il loro ordine, l’attacco è in realtà atomico (nessun’altra transazione può “incunearsi” nell’attacco), proprio come nel caso dei prestiti lampo. Questo tipo di attacco è stato utilizzato per invadere più di 100 progetti, con una perdita totale di circa 1 miliardo di dollari.

Nel tempo, il numero medio di hacker è aumentato. All’inizio del 2020, un furto ha perso centinaia di migliaia di dollari. Entro la fine dell’anno, l’importo era aumentato a decine di milioni di dollari.

relazionato: Gli exploit dei contratti intelligenti sono più etici dell’hacking… o no?

Incompetenza dello sviluppatore

Il tipo di rischio più pericoloso riguarda l’errore umano. Le persone si rivolgono a DeFi per trovare denaro veloce. Molti sviluppatori hanno scarse qualifiche, ma cercano comunque di avviare progetti in fretta. I contratti intelligenti sono open source, quindi possono essere facilmente copiati e modificati dagli hacker in piccoli modi. Se il progetto originale contenesse i primi tre tipi di vulnerabilità, si riverserebbero in centinaia di progetti clonati. RFI SafeMoon è un buon esempio perché Contiene una grave vulnerabilità Questo è stato sovrapposto a più di cento progetti, con potenziali perdite di oltre 2 miliardi di dollari USA.

Questo articolo è stato creato da Vladislav Komisarov e Dmitry Mishunin.

I punti di vista, i pensieri e le opinioni qui espressi sono solo quelli dell’autore e non riflettono o rappresentano necessariamente i punti di vista e le opinioni di Cointelegraph.

Vladislav Komisarov È il Chief Technology Officer di BondAppetit, un protocollo DeFi di prestito la cui stablecoin è supportata da attività del mondo reale con reddito fisso regolare. Ha più di 17 anni di esperienza nello sviluppo web.

Dmitry Mishunin È il fondatore e chief technology officer di HashEx. Più di 30 progetti globali sono in esecuzione sull’integrazione blockchain progettata da HashEx. Dal 2017 al 2021 sono stati controllati più di 200 contratti intelligenti.

leggi di più

[ad_2]

Source link

Autore dell'articolo: Redazione EconomiaFinanza.net

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *