Günümüzde blockchain pazarı bir bütün olarak başlangıç aşamasındadır ve merkezi olmayan finans (DeFi) pazar bunun en umut verici kısmıdır. DefiLlama verilerine göre 2021 yılında DeFi pazarında akıllı sözleşmelere kilitlenmiş yaklaşık 200 milyar dolarlık likidite vardı. Bu sermayeyi bir başlangıç yatırımı olarak düşünürsek, bu pazar oldukça umut verici bir girişim gibi görünüyor. Çok fazla küresel şirket böyle bir kapitalizasyonla övünemez. Ancak her genç pazarın kendi diş çıkarma sorunları vardır. DeFi'de asıl sorun, nitelikli blockchain geliştiricilerinin eksikliğidir.
Bu sektör çok genç ve nispeten küçük bir kullanıcı tabanına sahip. Çoğu kişi DeFi'yi en iyi ihtimalle ne olduğu hakkında hiçbir fikri olmadan duymuştur. Ancak gelecek vaat eden her yeni girişimde olduğu gibi, bu durum hızla çok fazla spekülatif ilgi yaratıyor. Ne yazık ki personelin hazırlanması, özellikle blockchain ve akıllı sözleşme geliştirme gibi bilgi yoğun alanlar söz konusu olduğunda çok daha uzun sürüyor. Bu, bazı proje ekiplerinin ödün vermesi ve daha az deneyimli personeli işe alması gerektiği anlamına gelir.
Bu sorun kaçınılmaz olarak giderek artan güvenlik açıkları riski yaratır bu projelerin kodlarında. Ve sonra bunun kullanıcı sermayesi kaybıyla ilgili sonuçlarıyla uğraşmak zorundayız. Bu sorunun ne kadar büyük olduğunu kısaca anlamak için DeFi'nin kilitlenen toplam likiditesinin yaklaşık %10'unun bilgisayar korsanları tarafından çalındığını söyleyebilirim. Ana akım kamuoyunun fonları için bu kadar tehlike oluşturan bir finansal sistemden uzak durmayı tercih etmesi kimseyi şaşırtmamalı.
İlgili: DeFi protokolleri nasıl hacklenir?
DeFi istismarları son zamanlarda nasıl değişti?
DeFi'ye yönelik saldırılar uzun süredir yeniden giriş saldırılarına odaklanıyordu. Ünlüleri hatırlayabiliriz 2016'daki DAO saldırısı, yatırımcı sermayesinde 150 milyon dolar kayba yol açtı ve Ethereum'un hard fork'una yol açtı. O zamandan beri bu güvenlik açığından farklı akıllı sözleşmelerde birçok kez yararlanıldı.
Geri arama işlevi, borç verme protokolleri tarafından aktif olarak kullanılmaktadır: Akıllı sözleşmelerin, kredi vermeden önce kullanıcıların teminat bakiyesini kontrol etmesine olanak tanır. Tüm bu süreç, bilgisayar korsanlarına bu tür akıllı sözleşmelerden para çalmak için geçici bir çözüm sağlayan tek bir işlemde gerçekleşiyor. Borçlanma talebi gönderdiğinizde, geri arama işlevi önce teminat bakiyesini kontrol eder, ardından teminat yeterliyse krediyi verir ve ardından kullanıcının teminat bakiyesini akıllı sözleşme içinde değiştirir.
Akıllı sözleşmeyi kandırmak için bilgisayar korsanları çağrıyı geri arama işlevine geri göndererek bu süreci en baştan başlatır. İşlem blockchain üzerinde tamamlanmadığından fonksiyon aynı teminat bakiyesi için başka bir kredi verir. Bu sorunun çözümü yeterince uzun süredir ortada olmasına rağmen birçok proje hala bu sorunun kurbanı oluyor.
Bazen akıllı sözleşme yazma konusunda çok az beceriye sahip olan proje ekipleri, kendi akıllı sözleşmelerini dağıtmak için başka bir açık kaynaklı DeFi projesinin kod tabanını ödünç almaya karar verirler. Normalde bunu denetlenmiş, geniş kullanıcı tabanlarına sahip ve güvenli bir şekilde oluşturulduğu kanıtlanmış saygın projelerle yaparlar. Ancak orijinal kodu değiştirmeden, akıllı sözleşmelerinde olmasını istedikleri işlevleri eklemek için ödünç alınan kodda küçük değişiklikler yapmaya karar verebilirler. Bu, geliştiricilerin çoğu zaman farkına varmadığı akıllı sözleşme mantığına zarar verebilir.
Bu nedir Bilgisayar korsanlarının yaklaşık 19 milyon dolar çalmasına izin verildi Ağustos 2021'de Cream Finance'ten. Cream Finance ekibi, kodu farklı bir DeFi protokolünden ödünç aldı ve akıllı sözleşmelerine bir geri arama jetonu ekledi. Fon dağıtımı yerine denge değişikliğine öncelik veren "kontroller, etkiler, etkileşimler" modelini uygulayarak yeniden giriş saldırılarını önleyebilseniz de, bazı ekipler yine de platformlarını bu istismarlara karşı korumada başarısız oluyor.
Flaş kredi saldırıları, bilgisayar korsanlarının fonları farklı şekilde çalmasına olanak tanıyor ve 2020'deki DeFi patlamasından bu yana giderek daha popüler hale geliyor. Flaş kredi saldırılarının ana fikri, bir protokolden borç almak için teminat sahibi olmanıza gerek olmamasıdır çünkü finansal eşitlik hâlâ garanti altındadır kredinin tek işlemde alınıp iade edilmesiyle. Ve krediyi tek bir işlemde faiziyle birlikte iade edemezseniz bu gerçekleşmeyecektir. Ancak saldırganlar birçok protokole başarılı flash kredi saldırıları gerçekleştirmeyi başardı.
İlgili: Gerekli: Bilgisayar korsanlığı ve dolandırıcılıkla mücadele için devasa bir eğitim projesi
Bunları yaparken, likiditeyi ödünç almak ve sürüklemek için, kehanetler veya likidite havuzları aracılığıyla bir tokenin fiyatını yükselttikleri ve bunu bir pompala-boşalt ve bir dizi likiditeyle yok olmak için kullandıkları son eyleme kadar birden fazla protokol kullanırlar. Ether gibi bazı önemli farklı kripto para birimlerinin (ETH), Sarılmış Bitcoin (wBTC) ve diğerleri. Bazı ünlü flaş kredi saldırıları şunları içerir: Gözleme Tavşanı saldırısıprotokolün 200 milyon dolar kaybettiği yer ve başka bir Cream Finance saldırısı100 milyon doların üzerinde para çalındı.
DeFi istismarlarına karşı nasıl korunulur?
Güvenli bir DeFi protokolü oluşturmak için ideal olarak yalnızca deneyimli blockchain geliştiricilerine güvenmelisiniz. Merkezi olmayan uygulamalar oluşturma becerisine sahip profesyonel bir ekip liderliğine sahip olmaları gerekir. Geliştirme için güvenli kod kitaplıklarını kullanmayı hatırlamak da akıllıca olacaktır. Bazen daha az güncel olan kütüphaneler, en yeni kod tabanlarına sahip olanlardan daha güvenli seçenek olabilir.
Test şu şekildedir: bir diğer önemli şey tüm ciddi DeFi projelerinin bunu yapması gerekir. Bir akıllı sözleşme denetim şirketinin CEO'su olarak, her zaman müşterilerimizin kodlarının %100'ünü kapsamaya çalışıyorum ve sınırlı erişime sahip akıllı sözleşmelerin işlevlerini çağırmak için kullanılan özel anahtarların merkezi olmayan bir şekilde korunmasının önemini vurguluyorum. Bir kuruluşun sözleşme üzerinde tam kontrole sahip olmasını önleyen çoklu imza yoluyla genel anahtarın merkezi olmayan hale getirilmesini kullanmak en iyisidir.
Sonuçta eğitim, blockchain tabanlı finansal sistemlerin daha güvenli ve güvenilir olmasını sağlayacak anahtarlardan biridir. Ve eğitim, DeFi'de iş arayanların temel kaygılarından biri olmalıdır çünkü eğitim, geçerli bir katkıda bulunabilecek herkese ağız sulandıran ödüller sunabilir.
Bu makale yatırım tavsiyesi veya tavsiyeleri içermiyor. Her yatırım ve ticaret hamlesi risk içerir ve okuyucular karar verirken kendi araştırmalarını yapmalıdır. Burada ifade edilen görüşler, düşünceler ve görüşler yazara aittir ve Cointelegraph'ın görüş ve düşüncelerini yansıtmaz veya temsil etmez. Dmitry Mişunin DeFi güvenlik ve analiz şirketi HashEx'in kurucusu ve CEO'sudur ve blockchain güvenliği alanında uzun yıllara dayanan bir uzmanlığa sahiptir. BT sistemleri, blockchain ve DeFi'deki güvenlik açıkları üzerine araştırmalar gibi bilimsel faaliyetlere çok zaman ayırdı. Dmitry'nin yönetimi altında HashEx, akıllı sözleşme denetimleri alanında liderlerden biri haline geldi. Kaynak: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi