👋想和我們一起工作嗎? CryptoSlate 正在招聘一些職位
隨著DeFi 部門繼續吸引資金和用戶,來自世界各地的不良行為者繼續將其視為一個有吸引力的目標,該目標已經成熟且保護不力。
在過去的幾個月裡,我一直在跟踪一些最引人注目的DeFi 協議漏洞,其中至少有七個似乎是僅由智能合約缺陷造成的。
例如,黑客襲擊並搶劫了Wormhole,竊取了超過3 億美元、Qubit Finance(8000 萬美元)、Meter(440 萬美元)、Deus(300 萬美元)、TreasureDAO(超過100 個NFT),最後是Agave 和Hundred Finance,它們一起,總共損失了1100萬美元。所有這些攻擊導致大量資金被盜,對項目造成重大損害。
許多目標協議的加密貶值、用戶不信任、對DeFi 和智能合約安全性的批評以及類似的負面後果。
攻擊期間發生了哪些類型的漏洞利用?
當然,這些案例中的每一個都是獨一無二的,並且根據它們的漏洞和缺陷,使用不同類型的漏洞來解決每個單獨的項目。示例包括邏輯錯誤、重入攻擊、帶有價格操縱的閃貸攻擊等。我認為這是DeFi 協議變得越來越複雜的結果,而隨著它們的複雜性,代碼的複雜性使得清除所有缺陷變得越來越困難。
此外,在分析這些事件中的每一個時,我注意到了兩件事。第一個是黑客每次都設法逃脫巨額– 價值數百萬美元的加密。
這個“發薪日”激勵黑客花費任何必要的時間研究協議,甚至一次甚至幾個月,因為他們知道獎勵是值得的。這意味著黑客比審計員更願意花更多的時間尋找漏洞。
突出的第二件事是,在某些情況下,黑客實際上非常簡單。以百家金融攻擊為例。如果將代幣添加到協議中,該項目使用了一個眾所周知的錯誤,該錯誤通常可以在Compound 分叉中找到。黑客需要做的就是等到這些代幣之一被添加到Hundred Finance 中。之後,只需按照幾個簡單的步驟使用漏洞利用來賺錢。
DeFi項目可以做些什麼來保護自己?
展望未來,這些項目可以做的保護自己免受不良行為者侵害的最好的事情就是專注於審計。越深入越好,由經驗豐富的專業人士進行,他們知道要注意什麼。但是,即使在進行審計之前,項目還可以做另一件事,那就是確保它們擁有由負責任的開發人員創建的良好架構。
這一點尤其重要,因為大多數區塊鏈項目都是開源的,這意味著它們的代碼往往會被複製和重用。它在開發過程中加快了速度,並且代碼是免費的。
問題是,如果它被證明是有缺陷的,並且在原始開發人員找出漏洞並修復它們之前就被複製了。即使他們宣布並實施了修復,複製它的人也可能看不到新聞,他們的代碼仍然容易受到攻擊。
審計實際上能提供多少幫助?
智能合約充當在區塊鏈技術上運行的程序。因此,它們可能存在缺陷並且包含錯誤。正如我之前提到的,合約越複雜——一兩個缺陷通過開發人員檢查的可能性就越大。
不幸的是,在很多情況下都沒有簡單的解決方案來糾正這些缺陷,這就是為什麼開發人員應該花時間確保代碼正確完成,並立即或至少儘早發現缺陷。
這就是審計的用武之地,因為如果你測試代碼並充分記錄其開發和測試的進度,你可以及早解決大部分問題。
當然,即使是審計也不能100% 保證代碼沒有問題。沒有人可以。黑客需要幾個月的時間來找出他們可以利用的最小漏洞並非偶然——你無法創建完美的代碼並使其有用,尤其是在涉及新技術時。
審計確實減少了問題的數量,但真正的問題是,許多被黑客攻擊的項目甚至根本沒有任何審計。
因此,對於仍處於開發過程中的任何開發人員和項目所有者來說,請記住,安全性並非來自通過審核。然而,它肯定從那裡開始。處理你的代碼; 確保它有一個精心設計的架構,並且有熟練和勤奮的開發人員在它上面工作。
確保所有內容都經過測試並有據可查,並使用你可以使用的所有資源。例如,Bug 賞金是讓人們從黑客的角度檢查你的代碼的好方法,而從尋找方法的人的全新角度來看,對於保護你的項目來說可能是無價的。
Gleb Zykov 來自HashEx 的客座帖子
Gleb 在一家研究所開始了他的軟件開發職業生涯,在那裡他獲得了強大的技術和編程背景,為俄羅斯緊急情況部開發了不同類型的機器人。後來,Gleb 將他的技術專長帶到了IT 服務公司GTC-Soft,在那裡他設計了Android 應用程序。他後來成為首席開發人員,之後成為公司的首席技術官。在GTC 中,Gleb 領導了眾多車輛監控服務和類似優步的高級出租車服務的開發。 2017 年,Gleb 成為國際區塊鏈審計和諮詢公司HashEx 的聯合創始人之一。 Gleb 擔任首席技術官一職,負責為公司客戶開發區塊鏈解決方案和智能合約審計。
了解更多→
資訊來源:由0x資訊編譯自CRYPTOSLATE。版權歸作者所有,未經許可,不得轉載