در سال 2021، از طریق کلاهبرداری و سرقت محصولات DeFi بیش از 10 میلیارد دلار از پولهای کاربران از دستشان رفته است. این رقم چیزی در حدود 7 برابر مجموع سرقتهای سال 2020 است.
در سال 2022، سازمان مالیاتی بریتانیا در زمینه داراییهای دیجیتال، 20 تحقیق پلیسی را آغاز کرد. این اقدام به دلیل افزایش پولشویی و کلاهبرداری صورت گرفته است.
طبق یک گزارش دیگر، جرائم مبتنی بر ارزهای دیجیتال در سال 2021 به بالاترین حد خود رسید و ارزشی بالغ بر 14 میلیارد دلار توسط آدرسهای غیرقانونی را به خود اختصاص داد.
به نظر میرسد که وجود امنیت و آرامش در اقتصاد غیر متمرکز یک توهم بوده است. اینطور نیست؟ اما در حالی که این اعداد در تضاد با آرمانشهر دنیای crypto هستند، اما هنوز هم تصویر کاملی از امنیت و قانونمندی DeFi را منعکس نمیکنند.
طبق این گفته، بیایید به مسائل امنیتی مربوط به امور مالی غیر متمرکز و کلاهبرداریهای رایج بپردازیم.
سفری به گذشته DeFi
اگر اولین بار است که در مورد امور مالی غیر متمرکز مطالعه میکنید، ما برای شما یک تور مختصر از دنیای DeFi آماده کردهایم.
امور مالی غیر متمرکز یا DeFi مجموعهای از اپلیکیشنهای تخصصی و خدمات مالی مبتنی بر بلاک چین است. همچنین اغلب به عنوان جنبشی معرفی میشود که هدف آن غیر متمرکز کردن امور مالی و باز کردن فضای آن برای همگان است.
یعنی تراکنشهای DeFi به واسطههایی مانند بانکها یا هر نوع پردازش متمرکز دیگر نیاز ندارند. با توجه به این نکته، DeFi برای خودکارسازی فرآیندها و پروتکلها به استفاده از قراردادهای هوشمند، cryptography و بلاکچین تکیه میکند و کارآمدتر و ایمنتر از ساختارهای بانکداری سنتی است. شما به طور رسمی تبدیل به بانک خود میشوید. زیرا میتوانید خدمات مالی در زمینه وام، اوراق قرضه، بیمه و غیره را بدون دردسرهای در پی اسناد و مدارک انجام دهید.
محصولات DeFi
محصولات DeFi شامل، اما نه محدود به موارد زیر است:
- صرافیهای غیر متمرکز (DEX)
- پلتفرمهای وامدهنده peer-to-peer
- Stablecoins
- بازارهای پیشبینی و غیره.
اکثر محصولات DeFi بر پایه اتریوم هستند. زیرا این پلتفرم بلاک چین از زبان برنامهنویسی Solidity استفاده میکند که به ایجاد قراردادهای هوشمند کمک میکند.
در لحظه نگارش این مقاله، مقدار ارز دیجیتال در امورد مالی غیر متمرکز، بیش از 80 میلیون دلار است که بدون شک آن را به یک پدیده مالی دائمی با پایگاه کاربری قدرتمند تبدیل میکند. با این حال، زیرساخت DeFi و مقررات آن هنوز در حال توسعه است که آنرا در برابر حملات، طرحهای پانزی (ponzi schemes ) و سایر تهدیدات امنیتی آسیبپذیر میکند.
بنابراین، در بهترین حالت، قراردادهای هوشمند خدمات مالی noncustodial بیهمتایی را امکانپذیر میکنند. با این حال، آنها به اندازه کد خود امن هستند. در نتیجه، قراردادهای هوشمند اغلب ممکن است با اشکالات، آسیبپذیریها یا شکافهای امنیتی مواجه شوند که به هکرها اجازه میدهد کیف پول مردم را تخلیه کنند. و بیایید قدرت اپنسورس بودن و ترکیبپذیری آنها را فراموش نکنیم که میتواند هم خوب و هم بد باشد.
مهمترین روشهای هک DeFi
در طول دو سال گذشته، جامعه ارزهای دیجیتال با طرحهای مبتنی بر حمله فیشینگ به وحشت افتاده است. که بسیاری از مفاهیم کلیدی آن را زیر سؤال میبرد. در نتیجه، به دلیل رشد جرائم در زمینه ارزهای دیجیتال، برنامههای DeFi در «غرب وحشی» ارزهای دیجیتال قرار گرفتهاند.
پس اجازه دهید نگاهی به حملات متداول در این زمینه بیندازیم.
حمله Flash Loan
Flash Loans یک ویژگی در تعدادی از پروتکلهای محبوب DeFi است که به شما این امکان را میدهد که داراییهای رمزنگاری شده را بدون هیچ وثیقهای وام بگیرید. مشروط بر اینکه وام در همان بلوک تراکنشها بازپرداخت شود.
در این مورد، یک مجرم سایبری بازار را با اخذ Flash Loan از پروتکل DeFi دستکاری میکند و سپس به دلیل slippage بیش از حد، ارزش توکن وام گرفته شده را به پایینترین حد میرساند. پس از آن، هکر به سرعت وام را بازپرداخت میکند و با فروش توکنها در بازارهای دیگر به قیمت واقعی، سود میکند. بیایید مجدداً Cream Finance و جذابیت خطرناک آن برای هکرها را بررسی کنیم. در سال 2021، اکسپلویت Flash Loan به شرکتی به ارزش 130 میلیون دلار توکن نقدشونده حمله کرد. در اوایل همان سال، هکرها 37.5 میلیون دلار در ماه فوریه و 18.8 میلیون دلار در ماه آگوست از سایر حملات Flash Loan سود کردند.
Rug Pulls یا Ponzi Schemes (طرحهای پانزی)
Rug Pull نوعی کلاهبرداری DeFi است که در آن توسعه دهندگان بلاک چین ابتدا توکن پروژه خود را pump میکنند و سپس سرمایهگذاری در آن پروژه را رها میکنند و یک توکن بیارزش باقی میگذارند. از انواع Rug Pull میتوان به سرقت نقدینگی، محدود کردن سفارشهای فروش و دامپینگ اشاره کرد.
به گفته Chainalysis که یک شرکت تجزیه و تحلیل بلاک چین است، این نوع مانُور مخرب، در سال 2021 تقریباً 3 میلیارد دلار به قربانیان ضرر زد. OneCoin یکی از بزرگترین Rug Pull های موجود در بازار ارز دیجیتال است. توسعه دهندگان در آن بیش از 4 میلیارد دلار از سرمایهگذاران ناآگاه سرقت کردند. توکن Squid Game یکی دیگر از طرحهای پانزی است. این توکن، یک توکن بازی برای کسب درآمد بود که از سریال تلویزیونی نتفلیکس الهام گرفته بود و بیش از 43000 سرمایهگذار را جذب خود کرد.
حمله Re-entrancy
این حمله سایبری یکی از مخربترین حملات در قراردادهای هوشمند Solidity است. زیرا میتواند به طور کامل قرارداد هوشمند شما را از بین ببرد. در این مورد، یک قرارداد حمله، قرارداد قربانی را به گونهای فراخوانی میکند که کنترل بیشتری بر اجرای کد به دست میآورد. در نتیجه، قرارداد قربانی را مختل میکند و نوعی دسترسی غیر مجاز به دست میآورد. هنگامی که قرارداد قربانی وضعیت خود را به روز نمیکند، مهاجم تابع تجدید نظر ( withdrawal ) را فراخوانی میکند تا به راحتی کسب درآمد کند.
اما مشکل این است که تشخیص آسیبپذیری Re-entrancy دشوار است. زیرا اجرای قرارداد هوشمند و سناریوهای احتمالی نیز متفاوت است. علاوه بر این، از آنجایی که در زمینه قراردادهای هوشمند الگوی خاصی وجود ندارد، این آسیبپذیری نمیتواند به طور دقیق شناسایی شود. و تجزیه و تحلیل با یک الگوی ساده و سرراست ممکن است نتایج مثبت کاذب ایجاد کند. در حالی که الگوهای دقیق ممکن است وجود آسیبپذیری Re-entrancy را تشخیص ندهند.
معروفترین نمونه این هک DAO بود که در آن 70 میلیون دلار اتر از بین رفت.
حملات 51%
حمله 51% سناریویی است که اگر یک عامل مخرب کنترل بیش از نیمی از قدرت پردازش یک شبکه ارزهای دیجیتال را به دستآورد، میتواند اجرایی شود. با در اختیار داشتن کنترل اکثریت شبکه، مهاجم میتواند شروع به double-spending کردن ارز دیجیتال یا سانسور تراکنشها کند و یا حتی کنترل کامل شبکه را به دست بگیرد.
خطر حمله 51% واقعی است و قبلاً در شبکههای کوچکتر ارزهای دیجیتال رخ داده است. علاوه بر این، این حمله به attacking node اجازه میدهد تا از تأیید تراکنشهای جدید جلوگیری کند و طوری عمل کند که انگار یک شبکه قانونی است.
این بدان معناست که بلاک چین قانونی کُندتر از بلاک چین مخرب رشد میکند. که به مهاجم اجازه میدهد محتویات دفتر کل توزیع شده را بازنویسی کند. حملات 51% به طور گسترده مورد استفاده قرار نمیگیرند، زیرا انجام دادن آنها هزینه زیادی میطلبد.
در سال 2020، پلتفرم PegNet که بر پایه DeFi است، با حمله 51% مواجه شد که در آن ماینرهای قدرتمند در stablecoin ها، ارزش فیک 6.7 میلیون دلاری ایجاد کردند.
و اینها تنها گوشهای از مسائل امنیتی هستند که پلتفرمها و اپلیکیشنهای DeFi را تحت تأثیر قرار میدهند.
آیا DeFi THAT آسیبپذیر است؟
پاسخ کوتاه: خیر.
حالا بیایید وارد جزئیات شویم. Cryptography یک تکنیک قدیمی در دنیای تراکنشهای مالی امن است. کانسپت واقعاً از هم گسیخته DeFi ، تمرکز زدایی تمام و کمال آن است. جایی که compromised node هایی مانند Hydra of Lerma دوباره ظاهر میشوند.
و سهم بزرگی از آسیبپذیری DeFi از فونداسیون باز و غیر متمرکز آن ناشی میشود. در پی این پتانسیل بی حد و حصر، ما قراردادهای هوشمند کاملاً شفافی دریافت میکنیم که آسیبپذیریها و نقاط ضعف آنها نیز کاملاً عمومی است. همچنین، با توجه به ساختار گسترده DeFi که در آن برنامه ها شامل چندین قرارداد هوشمند با قابلیت اتصال از طریق پروتکلهای متعدد هستند، یک آسیبپذیری میتواند به تعداد زیادی از پروتکلها آسیب برساند.
اما همه چیز تیره و تاریک نیست. درست مانند هر جوجه تازه متولد شده دیگری در بلوک، DeFi تنها لازم است بزرگ شود و بالهای خود را باز کند. هر تکنولوژی جدید مستعد نقص استف و این شما هستید که تصمیم میگیرید که آیا این معامله ارزشش را دارد یا خیر. در امور مالی غیر متمرکز، امنیت متکی بر تکنولوژی مورد استفاده شما است.
سرویسهای مالی 2P2 مسیری از انتخابهای امنیتی است.
و در حالی که کارشناسان و دولتها در حال بحث درباره مقررات DeFi هستند، همه ما باید در استفاده از این رویکرد خرید احتیاط کنیم. و قبل از ورود به میدان، باید دقت لازم را داشته باشیم. طبق این گفته، اجازه دهید برخی از روشهای امنیتی پذیرفتهشده برای کاهش میزان آسیبپذیری برنامه DeFi خود را مرور کنیم.
چگونه میتوانید از داراییهای DeFi خود محافظت کنید؟
اگر چه در مقابل هر روش هک، یک اقدام حفاظتی خاص وجود دارد، من محبوبترین روشهای امنیتی را برای ایمن نگه داشتن داراییهای DeFi شما انتخاب کردهام.
- Full unit test coverage
Unit test ها یک تکنیک آزمایشی برجسته هستند که برای هر پروژهای با کیفیت بالا، از جمله تأمین مالی غیر متمرکز، ضروری هستند. این نوع تست عملکرد در بخشهای مختلفی از قراردادهای هوشمند مشکل دارد. چرا با تستهای خستهکننده انرژیتان را تلف کنید؟ پس از استقرار، قراردادهای هوشمند تغییرناپذیر هستند. به این معنی که کد شما قبل از اینکه بر روی پلتفرم DeFi قرار بگیرد، باید بدون اشکال باشد. مهمتر از همه، قراردادها نیاز به full test coverage دارند. به این معنی که نباید هیچ جای شکی در آنها وجود داشته باشد.
- Smart contract security audit
Full unit test coverage عالی است، اما نمیتواند آسیبپذیریهای غیر منتظره یا همه مسیرهای ممکن برای interaction را پیشبینی کند. برعکس، audit امنیتی به توسعهدهندگان این امکان را میدهد تا مناطقی را که میتوانند توسط عوامل تهدیدکننده دستکاری شوند، تجزیه و تحلیل کنند. علاوه بر مزایای امنیتی آشکار، audit ها همچنین میتوانند به تیم کمک کنند تا کارایی اپلیکیشن DeFi شما را در تمام جنبهها افزایش دهند. با این حال، audit کردن میتواند منابع مالی و زمانی زیادی را مصرف کند که این موضوع ممکن است برخی شرکتها را بترساند. با این حال استفاده از آن برای جلوگیری از thwart reentrancy ، oracle و انواع دیگر حملات ضروری است.
کپی کردن ممنوع!
استقرار قراردادهای هوشمند نباید با کپی/پیست دستی انجام شود. از آنجایی که byte code مربوط به هر قرارداد در شبکه، عمومی است، استفاده از آن برای یک قرارداد دیگر هم آسان است. با این حال، مگر در زمانی که کل پروژه را fork کنید، (که بهترین سناریو نیست) در نهایت با کدهای جداگانهای مواجه خواهید شد که ممکن است با بقیه سازگار نباشند. همچنین تغییر یا افزودن هر چیزی، حتی یک جزء مهم، در کد دشوار خواهد بود. بنابراین کپی/پیست کردن کاری به شدت ضد امنیتی است و اپلیکیشن DeFi شما را در برابر حملات احتمالی آسیبپذیر میکند.
پینوشت
پروتکلهای DeFi سیستمهای نسبتاً جوان و پیچیدهای هستند و بلاک چین نیز همینطور است. دوگانه ناپختگی و پیشرفت، هر دوی آنها را مستعد سوء استفادههای احتمالی میکند. بنابراین، قبل از ایمنسازی یک پروژه DeFi ، باید تصویری جامع و دقیق از تهدیدات احتمالی و سیاستهای امنیتی داشته باشید. به دست آوردن این تصویر دقیق به نوبه خود نیازمند یک audit امنیتی جامع است. وقتی پروژههای DeFi به درستی انجام شوند، از سیستمهای آسیبپذیر به برنامههای تراکنش منحصر به فرد، شفاف و مستقیمی تغییر ماهیت میدهند که برای نظارت هیچ وابستگی خاصی به نهادهای شخص ثالث نخواهند داشت.
منبع: HackerNoon نویسنده: پاول تانسیورا
Leave feedback about this