ปัจจุบันตลาดบล็อคเชนโดยรวมยังอยู่ในช่วงเริ่มต้นและ การเงินแบบกระจายอำนาจ (DeFi) ตลาดเป็นส่วนที่มีแนวโน้มมากที่สุด จากข้อมูลของ DefiLlama ในปี 2021 ตลาด DeFi มีสภาพคล่องราว 200 แสนล้านดอลลาร์ที่ถูกล็อกไว้ในสัญญาอัจฉริยะ หากเรามองว่าทุนนี้เป็นการลงทุนเริ่มต้น ตลาดนี้ดูเหมือนจะเป็นการลงทุนที่มีแนวโน้มสูง มีบริษัทระดับโลกไม่มากนักที่สามารถอวดตัวพิมพ์ใหญ่เช่นนี้ได้ แต่ตลาดเล็ก ๆ ทุกแห่งมีปัญหาการงอกของฟัน ด้วย DeFi ปัญหาหลักคือการขาดนักพัฒนาบล็อกเชนที่มีคุณสมบัติเหมาะสม
อุตสาหกรรมนี้อายุน้อยมากและมีฐานผู้ใช้ที่ค่อนข้างเล็ก คนส่วนใหญ่เคยได้ยินเกี่ยวกับ DeFi เป็นอย่างดีโดยไม่รู้ว่ามันคืออะไร แต่เมื่อมันเกิดขึ้นกับทุกๆ การลงทุนที่มีแนวโน้มใหม่ มันสร้างความสนใจในการเก็งกำไรอย่างรวดเร็วอย่างรวดเร็ว น่าเสียดายที่การเตรียมบุคลากรใช้เวลานานกว่ามาก โดยเฉพาะอย่างยิ่งเมื่อพูดถึงขอบเขตความรู้อย่างเข้มข้น เช่น บล็อกเชนและการพัฒนาสัญญาอัจฉริยะ ซึ่งหมายความว่าบางทีมโครงการจะต้องประนีประนอมและจ้างบุคลากรที่มีประสบการณ์น้อย
ปัญหานี้หลีกเลี่ยงไม่ได้ สร้างความเสี่ยงที่เพิ่มขึ้นของช่องโหว่ด้านความปลอดภัย ในรหัสของโครงการเหล่านี้ แล้วเราต้องจัดการกับผลที่ตามมาในทุนผู้ใช้ที่สูญเสียไป เพื่อความเข้าใจคร่าวๆ ว่าปัญหานี้ใหญ่แค่ไหน ฉันสามารถพูดได้ว่าประมาณ 10% ของสภาพคล่องทั้งหมดของ DeFi ที่ถูกล็อคถูกแฮ็กเกอร์ขโมยไป ไม่ควรแปลกใจที่ใครก็ตามที่ประชาชนทั่วไปต้องการอยู่ห่างจากระบบการเงินที่ก่อให้เกิดอันตรายต่อเงินทุนของพวกเขา
ที่เกี่ยวข้อง โปรโตคอล DeFi ถูกแฮ็กได้อย่างไร
การหาประโยชน์จาก DeFi มีการเปลี่ยนแปลงอย่างไรเมื่อเร็วๆ นี้?
การโจมตี DeFi มุ่งเป้าไปที่การโจมตีแบบย้อนกลับมาเป็นเวลานาน เราจำความดังได้ การแฮ็ก DAO ในปี 2016 ส่งผลให้สูญเสียเงินทุนของนักลงทุน 150 ล้านดอลลาร์และนำไปสู่การ hard fork ของ Ethereum ตั้งแต่นั้นมา ช่องโหว่นี้ถูกใช้หลายครั้งในสัญญาอัจฉริยะต่างๆ
ฟังก์ชันการโทรกลับถูกใช้อย่างแข็งขันโดยโปรโตคอลการให้ยืม: ช่วยให้สัญญาอัจฉริยะตรวจสอบยอดคงเหลือหลักประกันของผู้ใช้ก่อนที่จะให้เงินกู้ กระบวนการทั้งหมดนี้เกิดขึ้นภายในธุรกรรมเดียว ซึ่งทำให้แฮกเกอร์มีวิธีแก้ปัญหาเพื่อขโมยเงินจากสัญญาอัจฉริยะดังกล่าว เมื่อคุณส่งคำขอยืมเงิน ฟังก์ชันเรียกกลับจะตรวจสอบยอดหลักประกันก่อน จากนั้นจึงให้เงินกู้หากหลักประกันเพียงพอ จากนั้นจึงเปลี่ยนยอดหลักประกันของผู้ใช้ภายในสัญญาอัจฉริยะ
เพื่อหลอกสมาร์ทคอนแทรค แฮกเกอร์จะโทรกลับไปยังฟังก์ชันเรียกกลับเพื่อเริ่มกระบวนการนี้ตั้งแต่เริ่มต้น เนื่องจากธุรกรรมยังไม่เสร็จสิ้นบนบล็อคเชน ฟังก์ชันจึงให้เงินกู้อื่นสำหรับยอดหลักประกันเดียวกัน แม้ว่าการแก้ปัญหานี้จะอยู่ในที่เกิดเหตุนานพอแล้ว แต่หลายโครงการก็ยังตกเป็นเหยื่อของปัญหานี้
บางครั้ง ทีมงานโครงการที่มีทักษะเพียงเล็กน้อยในการเขียนสัญญาอัจฉริยะตัดสินใจยืม codebase ของโครงการ DeFi โอเพ่นซอร์สอื่นเพื่อปรับใช้สัญญาอัจฉริยะของตนเอง โดยปกติพวกเขาจะทำเช่นนั้นกับโครงการที่มีชื่อเสียงที่ได้รับการตรวจสอบและมีฐานผู้ใช้ขนาดใหญ่และได้รับการพิสูจน์แล้วว่าสร้างขึ้นอย่างปลอดภัย แต่พวกเขาอาจตัดสินใจแก้ไขเล็กน้อยในโค้ดที่ยืมมาเพื่อเพิ่มฟังก์ชันการทำงานที่ต้องการในสัญญาอัจฉริยะ โดยไม่ต้องเปลี่ยนโค้ดเดิมด้วยซ้ำ สิ่งนี้สามารถทำลายตรรกะของสัญญาอัจฉริยะซึ่งนักพัฒนามักไม่ทราบ
นี่คืออะไร อนุญาตให้แฮ็กเกอร์ขโมยเงินได้ประมาณ 19 ล้านดอลลาร์ จาก Cream Finance ในเดือนสิงหาคม 2021 ทีม Cream Finance ยืมรหัสจากโปรโตคอล DeFi อื่นและเพิ่มโทเค็นการโทรกลับในสัญญาอัจฉริยะ แม้ว่าคุณจะสามารถป้องกันการโจมตีแบบกลับเข้ามาใหม่ได้โดยใช้รูปแบบ "การตรวจสอบ ผลกระทบ การโต้ตอบ" ที่จัดลำดับความสำคัญของการเปลี่ยนแปลงความสมดุลเหนือการออกเงินทุน แต่บางทีมก็ยังล้มเหลวในการปกป้องแพลตฟอร์มของตนจากการใช้ประโยชน์จากช่องโหว่เหล่านี้
การโจมตีด้วย Flash Loan ทำให้แฮ็กเกอร์สามารถขโมยเงินได้แตกต่างกัน และได้รับความนิยมเพิ่มขึ้นเรื่อยๆ นับตั้งแต่ DeFi บูมในปี 2020 แนวคิดหลักของการโจมตี Flash Loan คือ คุณไม่จำเป็นต้องมีหลักประกันในการกู้ยืมเงินจากโปรโตคอล เนื่องจากยังรับประกันความเท่าเทียมกันทางการเงิน โดยข้อเท็จจริงที่ว่าเงินกู้ถูกนำและส่งคืนภายในธุรกรรมเดียว และจะไม่เกิดขึ้นหากคุณล้มเหลวในการคืนเงินกู้พร้อมดอกเบี้ยในธุรกรรมเดียว แต่ผู้โจมตีสามารถทำการโจมตีแฟลชยืมได้สำเร็จในหลายโปรโตคอล
ที่เกี่ยวข้อง ต้องการ: โครงการการศึกษาขนาดใหญ่เพื่อต่อสู้กับการแฮ็กและการหลอกลวง
ในการทำเช่นนั้น พวกเขาใช้หลายโปรโตคอลเพื่อยืมและลากสภาพคล่องไปจนถึงการกระทำสุดท้ายที่พวกเขาขยายราคาของโทเค็นผ่าน oracles หรือกลุ่มสภาพคล่องและใช้เพื่อหลอกลวง pump-and-dump และหายไปพร้อมกับสภาพคล่องในอาร์เรย์ ของ cryptocurrencies ที่สำคัญบางอย่างเช่น Ether (ETH) ห่อ Bitcoin (wBTC) และอื่นๆ การโจมตีแฟลชสินเชื่อที่มีชื่อเสียงบางประเภทรวมถึง แพนเค้กกระต่ายโจมตีโดยที่โปรโตคอลสูญเสียเงินไป 200 ล้านดอลลาร์ และ การโจมตีครีมการเงินอีกครั้งซึ่งถูกขโมยไปมากกว่า 100 ล้านเหรียญ
จะป้องกันการโจมตีจาก DeFi ได้อย่างไร?
ในการสร้างโปรโตคอล DeFi ที่ปลอดภัย คุณควรวางใจเฉพาะนักพัฒนาบล็อกเชนที่มีประสบการณ์เท่านั้น พวกเขาควรมีทีมงานมืออาชีพที่มีทักษะในการสร้างแอปพลิเคชันแบบกระจายอำนาจ ก็ควรที่จะจำไว้ว่าให้ใช้ไลบรารีโค้ดที่ปลอดภัยสำหรับการพัฒนา บางครั้ง ไลบรารีที่อัปเดตน้อยกว่าอาจเป็นตัวเลือกที่ปลอดภัยที่สุดกว่าไลบรารีที่มีฐานรหัสใหม่ล่าสุด
การทดสอบคือ ที่สำคัญอีกอย่าง โครงการ DeFi ที่จริงจังทั้งหมดต้องทำ ในฐานะซีอีโอของบริษัทตรวจสอบสัญญาอัจฉริยะ ฉันพยายามปกปิดรหัสลูกค้า 100% และเน้นย้ำถึงความสำคัญของการป้องกันแบบกระจายศูนย์ของคีย์ส่วนตัวที่ใช้ในการเรียกใช้ฟังก์ชันของสัญญาอัจฉริยะที่มีการจำกัดการเข้าถึง เป็นการดีที่สุดที่จะใช้การกระจายอำนาจของกุญแจสาธารณะผ่าน multisignature ที่ป้องกันไม่ให้เอนทิตีหนึ่งควบคุมสัญญาได้อย่างเต็มที่
ในท้ายที่สุด การศึกษาเป็นหนึ่งในกุญแจสำคัญที่จะช่วยให้ระบบการเงินที่ใช้บล็อคเชนมีความปลอดภัยและเชื่อถือได้มากขึ้น และการศึกษาควรเป็นหนึ่งในข้อกังวลหลักของผู้ที่ต้องการหางานใน DeFi เพราะสามารถให้รางวัลที่น่ารับประทานแก่ทุกคนที่สามารถมีส่วนร่วมได้
บทความนี้ไม่มีคำแนะนำหรือคำแนะนำการลงทุน การลงทุนและการซื้อขายทุกครั้งมีความเสี่ยงและผู้อ่านควรทำการวิจัยด้วยตนเองเมื่อตัดสินใจ มุมมองความคิดและความคิดเห็นที่แสดงที่นี่เป็นของผู้เขียนคนเดียวและไม่จำเป็นต้องสะท้อนหรือเป็นตัวแทนมุมมองและความคิดเห็นของ Cointelegraph ดมิทรี มิชูนิน เป็นผู้ก่อตั้งและซีอีโอของ HashEx บริษัทรักษาความปลอดภัยและวิเคราะห์ DeFi และมีความเชี่ยวชาญมาอย่างยาวนานในด้านความปลอดภัยของบล็อคเชน เขาทุ่มเทเวลาอย่างมากให้กับกิจกรรมทางวิทยาศาสตร์ เช่น การวิจัยเกี่ยวกับระบบไอที บล็อคเชน และช่องโหว่ใน DeFi ภายใต้การบริหารของ Dmitry HashEx ได้กลายเป็นหนึ่งในผู้นำด้านการตรวจสอบสัญญาอัจฉริยะ ที่มา: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi