3 مهر 1402
تهران، خیابان آزادی، تقاطع قریب
بلاک چین

نیمه تاریک DeFi : غرب وحشی قراردادهای هوشمند

نیمه تاریک DeFi : غرب وحشی تمرکز زدایی

در سال 2021، از طریق کلاهبرداری و سرقت محصولات DeFi  بیش از 10 میلیارد دلار از پول‌های کاربران از دستشان رفته است. این رقم چیزی در حدود 7 برابر مجموع سرقت‌های سال 2020 است.

در سال 2022، سازمان مالیاتی بریتانیا در زمینه دارایی‌های دیجیتال، 20 تحقیق پلیسی را آغاز کرد. این اقدام به دلیل افزایش پولشویی و کلاهبرداری صورت گرفته است.

طبق یک گزارش دیگر، جرائم مبتنی بر ارزهای دیجیتال در سال 2021 به بالاترین حد خود رسید و ارزشی بالغ بر 14 میلیارد دلار توسط آدرس‌های غیرقانونی را به خود اختصاص داد.

به نظر می‌رسد که وجود امنیت و آرامش در اقتصاد غیر متمرکز یک توهم بوده است. اینطور نیست؟ اما در حالی که این اعداد در تضاد با آرمان‌شهر دنیای crypto هستند، اما هنوز هم تصویر کاملی از امنیت و قانون‌مندی DeFi را منعکس نمی‌کنند.

طبق این گفته، بیایید به مسائل امنیتی مربوط به امور مالی غیر متمرکز و کلاهبرداری‌های رایج بپردازیم.

سفری به گذشته DeFi

اگر اولین بار است که در مورد امور مالی غیر متمرکز مطالعه می‌کنید، ما برای شما یک تور مختصر از دنیای DeFi آماده کرده‌ایم.

امور مالی غیر متمرکز یا DeFi مجموعه‌ای از اپلیکیشن‌های تخصصی و خدمات مالی مبتنی بر بلاک چین است. همچنین اغلب به عنوان جنبشی معرفی می‌شود که هدف آن غیر متمرکز کردن امور مالی و باز کردن فضای آن برای همگان است.

یعنی تراکنش‌های DeFi به واسطه‌هایی مانند بانک‌ها یا هر نوع پردازش متمرکز دیگر نیاز ندارند. با توجه به این نکته، DeFi برای خودکارسازی فرآیندها و پروتکل‌ها به استفاده از قراردادهای هوشمند، cryptography و بلاک‌چین تکیه می‌کند و کارآمدتر و ایمن‌تر از ساختارهای بانکداری سنتی است. شما به طور رسمی تبدیل به بانک خود می‌شوید. زیرا می‌توانید خدمات مالی در زمینه وام، اوراق قرضه، بیمه و غیره را بدون دردسرهای در پی اسناد و مدارک انجام دهید.

محصولات DeFi

محصولات DeFi شامل، اما نه محدود به موارد زیر است:

  • صرافی‌های غیر متمرکز (DEX)
  • پلتفرم‌های وام‌دهنده peer-to-peer
  • Stablecoins
  • بازارهای پیش‌بینی و غیره.

اکثر محصولات DeFi بر پایه اتریوم هستند. زیرا این پلتفرم بلاک چین از زبان برنامه‌نویسی Solidity استفاده می‌کند که به ایجاد قراردادهای هوشمند کمک می‌کند.

در لحظه نگارش این مقاله، مقدار ارز دیجیتال در امورد مالی غیر متمرکز، بیش از 80 میلیون دلار است که بدون شک آن را به یک پدیده مالی دائمی با پایگاه کاربری قدرتمند تبدیل می‌کند. با این حال، زیرساخت DeFi و مقررات آن هنوز در حال توسعه است که آن‌را در برابر حملات، طرح‌های پانزی (ponzi schemes ) و سایر تهدیدات امنیتی آسیب‌پذیر می‌کند.

بنابراین، در بهترین حالت، قراردادهای هوشمند خدمات مالی noncustodial بی‌همتایی را امکان‌پذیر می‌کنند. با این حال، آن‌ها به اندازه کد خود امن هستند. در نتیجه، قراردادهای هوشمند اغلب ممکن است با اشکالات، آسیب‌پذیری‌ها یا شکاف‌های امنیتی مواجه شوند که به هکرها اجازه می‌دهد کیف پول مردم را تخلیه کنند. و بیایید قدرت اپن‌سورس بودن و ترکیب‌پذیری آن‌ها را فراموش نکنیم که می‌تواند هم خوب و هم بد باشد.

مهم‌ترین روش‌های هک DeFi

در طول دو سال گذشته، جامعه ارزهای دیجیتال با طرح‌های مبتنی بر حمله فیشینگ به وحشت افتاده است. که بسیاری از مفاهیم کلیدی آن را زیر سؤال می‌برد. در نتیجه، به دلیل رشد جرائم در زمینه ارزهای دیجیتال، برنامه‌های DeFi در «غرب وحشی» ارزهای دیجیتال قرار گرفته‌اند.

پس اجازه دهید نگاهی به حملات متداول در این زمینه بیندازیم.

حمله Flash Loan

Flash Loans یک ویژگی در تعدادی از پروتکل‌های محبوب DeFi است که به شما این امکان را می‌دهد که دارایی‌های رمزنگاری شده را بدون هیچ وثیقه‌ای وام بگیرید. مشروط بر این‌که وام در همان بلوک تراکنش‌ها بازپرداخت شود.

حمله Flash Loan به قراردادهای هوشمند

در این مورد، یک مجرم سایبری بازار را با اخذ Flash Loan از پروتکل DeFi دستکاری می‌کند و سپس به دلیل slippage بیش از حد، ارزش توکن وام گرفته شده را به پایین‌ترین حد می‌رساند. پس از آن، هکر به سرعت وام را بازپرداخت می‌کند و با فروش توکن‌ها در بازارهای دیگر به قیمت واقعی، سود می‌کند. بیایید مجدداً Cream Finance و جذابیت خطرناک آن برای هکرها را بررسی کنیم. در سال 2021، اکسپلویت Flash Loan به شرکتی به ارزش 130 میلیون دلار توکن نقدشونده حمله کرد. در اوایل همان سال، هکرها 37.5 میلیون دلار در ماه فوریه و 18.8 میلیون دلار در ماه آگوست از سایر حملات Flash Loan سود کردند.

توئیت درباره حمله Flash Loan

Rug Pulls یا Ponzi Schemes (طرح‌های پانزی)

Rug Pull نوعی کلاهبرداری DeFi است که در آن توسعه دهندگان بلاک چین ابتدا توکن پروژه خود را pump می‌کنند و سپس سرمایه‌گذاری در آن پروژه را رها می‌کنند و یک توکن بی‌ارزش باقی‌ می‌گذارند. از انواع Rug Pull می‌توان به سرقت نقدینگی، محدود کردن سفارش‌های فروش و دامپینگ اشاره کرد.

کلاهبرداری Rug Pull از قراردادهای هوشمند

به گفته Chainalysis که یک شرکت تجزیه و تحلیل بلاک چین است، این نوع مانُور مخرب، در سال 2021 تقریباً 3 میلیارد دلار به قربانیان ضرر زد. OneCoin یکی از بزرگترین Rug Pull های موجود در بازار ارز دیجیتال است. توسعه دهندگان در آن بیش از 4 میلیارد دلار از سرمایه‌گذاران ناآگاه سرقت کردند. توکن Squid Game  یکی دیگر از طرح‌های پانزی است. این توکن، یک توکن بازی برای کسب درآمد بود که از سریال تلویزیونی نتفلیکس الهام گرفته بود و بیش از 43000 سرمایه‌گذار را جذب خود کرد.

حمله Re-entrancy

این حمله سایبری یکی از مخرب‌ترین حملات در قراردادهای هوشمند Solidity است. زیرا می‌تواند به طور کامل قرارداد هوشمند شما را از بین ببرد. در این مورد، یک قرارداد حمله، قرارداد قربانی را به گونه‌ای فراخوانی می‌کند که کنترل بیشتری بر اجرای کد به دست می‌آورد. در نتیجه، قرارداد قربانی را مختل می‌کند و نوعی دسترسی غیر مجاز به دست می‌آورد. هنگامی که قرارداد قربانی وضعیت خود را به روز نمی‌کند، مهاجم تابع تجدید نظر ( withdrawal ) را فراخوانی می‌کند تا به راحتی کسب درآمد کند.

اما مشکل این است که تشخیص آسیب‌پذیری Re-entrancy دشوار است. زیرا اجرای قرارداد هوشمند و سناریوهای احتمالی نیز متفاوت است. علاوه بر این، از آن‌جایی که در زمینه قراردادهای هوشمند الگوی خاصی وجود ندارد، این آسیب‌پذیری نمی‌تواند به طور دقیق شناسایی شود. و تجزیه و تحلیل با یک الگوی ساده و سرراست ممکن است نتایج مثبت کاذب ایجاد کند. در حالی که الگوهای دقیق ممکن است وجود آسیب‌پذیری Re-entrancy را تشخیص ندهند.

معروف‌ترین نمونه این هک DAO بود که در آن 70 میلیون دلار اتر از بین رفت.

حملات 51%

حمله 51% سناریویی است که اگر یک عامل مخرب کنترل بیش از نیمی از قدرت پردازش یک شبکه ارزهای دیجیتال را به دست‌آورد، می‌تواند اجرایی شود. با در اختیار داشتن کنترل اکثریت شبکه، مهاجم می‌تواند شروع به double-spending کردن ارز دیجیتال یا سانسور تراکنش‌ها کند و یا حتی کنترل کامل شبکه را به دست بگیرد.

خطر حمله 51% واقعی است و قبلاً در شبکه‌های کوچکتر ارزهای دیجیتال رخ داده است. علاوه بر این، این حمله به attacking node اجازه می‌دهد تا از تأیید تراکنش‌های جدید جلوگیری کند و طوری عمل کند که انگار یک شبکه قانونی است.

این بدان معناست که بلاک چین قانونی کُندتر از بلاک چین مخرب رشد می‌کند. که به مهاجم اجازه می‌دهد محتویات دفتر کل توزیع شده را بازنویسی کند. حملات 51% به طور گسترده مورد استفاده قرار نمی‌گیرند، زیرا انجام دادن آن‌ها هزینه زیادی می‌طلبد.

در سال 2020، پلتفرم PegNet که بر پایه DeFi است، با حمله 51% مواجه شد که در آن ماینرهای قدرتمند در stablecoin ها، ارزش فیک 6.7 میلیون دلاری ایجاد کردند.

و این‌ها تنها گوشه‌ای از مسائل امنیتی هستند که پلتفرم‌ها و اپلیکیشن‌های DeFi را تحت تأثیر قرار می‌دهند.

آیا DeFi THAT آسیب‌پذیر است؟

پاسخ کوتاه: خیر.

حالا بیایید وارد جزئیات شویم. Cryptography یک تکنیک قدیمی در دنیای تراکنش‌های مالی امن است. کانسپت واقعاً از هم گسیخته  DeFi ، تمرکز زدایی تمام و کمال آن است. جایی که compromised node هایی مانند Hydra of Lerma دوباره ظاهر می‌شوند.

و سهم بزرگی از آسیب‌پذیری DeFi از فونداسیون باز و غیر متمرکز آن ناشی می‌شود. در پی این پتانسیل بی حد و حصر، ما قراردادهای هوشمند کاملاً شفافی دریافت می‌کنیم که آسیب‌پذیری‌ها و نقاط ضعف آن‌ها نیز کاملاً عمومی است. همچنین، با توجه به ساختار گسترده DeFi که در آن برنامه ها شامل چندین قرارداد هوشمند با قابلیت اتصال از طریق پروتکل‌های متعدد هستند، یک آسیب‌پذیری می‌تواند به تعداد زیادی از پروتکل‌ها آسیب برساند.

اما همه چیز تیره و تاریک نیست. درست مانند هر جوجه تازه متولد شده دیگری در بلوک، DeFi تنها لازم است بزرگ شود و بال‌های خود را باز کند. هر تکنولوژی جدید مستعد نقص استف و این شما هستید که تصمیم می‌گیرید که آیا این معامله ارزشش را دارد یا خیر. در امور مالی غیر متمرکز، امنیت متکی بر تکنولوژی مورد استفاده شما است.

سرویس‌های مالی 2P2 مسیری از انتخاب‌های امنیتی است.

و در حالی که کارشناسان و دولت‌ها در حال بحث درباره مقررات DeFi هستند، همه ما باید در استفاده از این رویکرد خرید احتیاط کنیم. و قبل از ورود به میدان، باید دقت لازم را داشته باشیم. طبق این گفته، اجازه دهید برخی از روش‌های امنیتی پذیرفته‌شده  برای کاهش میزان آسیب‌پذیری برنامه DeFi خود را مرور کنیم.

چگونه می‌توانید از دارایی‌های DeFi خود محافظت کنید؟

اگر چه در مقابل هر روش هک، یک اقدام حفاظتی خاص وجود دارد، من محبوب‌ترین روش‌های امنیتی را برای ایمن نگه داشتن دارایی‌های DeFi شما انتخاب کرده‌ام.

  • Full unit test coverage

Unit test ها یک تکنیک آزمایشی برجسته هستند که برای هر پروژه‌ای با کیفیت بالا، از جمله تأمین مالی غیر متمرکز، ضروری هستند. این نوع تست عملکرد در بخش‌های مختلفی از قراردادهای هوشمند مشکل دارد. چرا با تست‌های خسته‌کننده انرژی‌تان را تلف کنید؟ پس از استقرار، قراردادهای هوشمند تغییرناپذیر هستند. به این معنی که کد شما قبل از این‌که بر روی پلتفرم DeFi قرار بگیرد، باید بدون اشکال باشد. مهم‌تر از همه، قراردادها نیاز به full test coverage دارند. به این معنی که نباید هیچ‌ جای شکی در آن‌ها وجود داشته باشد.

  • Smart contract security audit

Full unit test coverage عالی است، اما نمی‌تواند آسیب‌پذیری‌های غیر منتظره یا همه مسیرهای ممکن برای interaction را پیش‌بینی کند. برعکس، audit امنیتی به توسعه‌دهندگان این امکان را می‌دهد تا مناطقی را که می‌توانند توسط عوامل تهدیدکننده دستکاری شوند، تجزیه و تحلیل کنند. علاوه بر مزایای امنیتی آشکار، audit ها همچنین می‌توانند به تیم کمک کنند تا کارایی اپلیکیشن DeFi شما را در تمام جنبه‌ها افزایش دهند. با این حال، audit کردن می‌تواند منابع مالی و زمانی زیادی را مصرف کند که این موضوع ممکن است برخی شرکت‌ها را بترساند. با این حال استفاده از آن برای جلوگیری از thwart reentrancy ، oracle و انواع دیگر حملات ضروری است.

کپی کردن ممنوع!

استقرار قراردادهای هوشمند نباید با کپی/پیست دستی انجام شود. از آن‌جایی که byte code مربوط به هر قرارداد در شبکه، عمومی است، استفاده از آن برای یک قرارداد دیگر هم آسان است. با این حال، مگر در زمانی که کل پروژه را fork کنید، (که بهترین سناریو نیست) در نهایت با کدهای جداگانه‌ای مواجه خواهید شد که ممکن است با بقیه سازگار نباشند. همچنین تغییر یا افزودن هر چیزی، حتی یک جزء مهم، در کد دشوار خواهد بود. بنابراین کپی/پیست کردن کاری به شدت ضد امنیتی است و اپلیکیشن DeFi شما را در برابر حملات احتمالی آسیب‌پذیر می‌کند.

پی‌نوشت

پروتکل‌های DeFi سیستم‌های نسبتاً جوان و پیچیده‌ای هستند و بلاک چین نیز همین‌طور است. دوگانه ناپختگی و پیشرفت، هر دوی آن‌ها را مستعد سوء استفاده‌های احتمالی می‌کند. بنابراین، قبل از ایمن‌سازی یک پروژه DeFi ، باید تصویری جامع و دقیق از تهدیدات احتمالی و سیاست‌های امنیتی داشته باشید. به دست آوردن این تصویر دقیق به نوبه خود نیازمند یک audit امنیتی جامع است. وقتی پروژه‌های DeFi به درستی انجام شوند، از سیستم‌های آسیب‌پذیر به برنامه‌های تراکنش منحصر به فرد، شفاف و مستقیمی تغییر ماهیت می‌دهند که برای نظارت هیچ وابستگی خاصی به نهادهای شخص ثالث نخواهند داشت.

منبع: HackerNoon    نویسنده: پاول تانسیورا

Leave feedback about this

  • کیفیت
  • قیمت
  • خدمات

PROS

+
Add Field

CONS

+
Add Field
Choose Image
Choose Video
X