ในช่วงสองสามปีที่ผ่านมา แอปพลิเคชันและโปรโตคอลทางการเงินแบบกระจายอำนาจใหม่หลายร้อยรายการได้หลั่งไหลเข้าสู่เครือข่าย Ethereum และบล็อกเชนอื่นๆ ในเดือนพฤศจิกายน 2021 มูลค่ารวมที่ถูกล็อกในแอป DeFi ทั้งหมดมีมูลค่าถึง 290 พันล้านดอลลาร์
ในทางทฤษฎีแล้ว DeFi ได้รับการออกแบบมาเพื่อทำให้การเข้าถึงการเงินเป็นประชาธิปไตยโดยทำให้ผู้คนจากทั่วทุกมุมโลกไม่ว่าจะมาจากภูมิหลังใดสามารถมีส่วนร่วมได้ ไม่มีข้อจำกัดทางการเงินหรือทางภูมิศาสตร์หรือตัวกลางแบบรวมศูนย์ ทุกอย่างมีการกระจายอำนาจ เชื่อถือไม่ได้ และเพียร์ทูเพียร์
เป็นวิสัยทัศน์ที่ได้รับความนิยม โดย DeFi เติบโตเร็วกว่าที่ใครจะจินตนาการได้ อย่างไรก็ตาม การเพิ่มขึ้นของมันถูกบดบังด้วยภัยคุกคามด้านความปลอดภัยที่สำคัญมากมาย ซึ่งทำให้ดูเหมือนเป็นการลงทุนที่เสี่ยงมากสำหรับผู้ที่ไม่มีความรู้อย่างมากเกี่ยวกับวิธีการทำงานของ crypto
ในขณะที่ปี 2021 เป็นปีที่ยิ่งใหญ่สำหรับ DeFi แต่ก็เป็นเนื้อหาที่ใหญ่กว่าสำหรับแฮกเกอร์ด้วยรายงานล่าสุดจาก Chainalaysis หา ที่พวกเขาขโมยเงินรวมมูลค่า 3.2 พันล้านดอลลาร์ในปีนั้น ปีนี้มีแนวโน้มที่จะสร้างผลกำไรให้กับแฮกเกอร์ได้เช่นเดียวกัน ตามรายงานล่าสุดของ CertiK รายงาน, DeFi และ Web3 ร่วมกันสูญเสียมากกว่า 2 พันล้านดอลลาร์ให้กับแฮ็กเกอร์ในช่วงหกเดือนแรกของปี
Chainalysis กล่าวว่าแฮ็กเกอร์ในแวดวง crypto ได้อพยพออกจากกระเป๋าเงินและเป้าหมายอื่น ๆ และเกือบจะกำหนดเป้าหมายเฉพาะโปรโตคอล DeFi ในปัจจุบัน ในช่วงสามเดือนแรกของปี 2022 เกือบ 97% ของเงินทุนทั้งหมดที่แฮ็กเกอร์ขโมยมาจาก DeFi เพิ่มขึ้นจาก 72% ในปี 2021 และเพียง 30% ในปี 2020 การดูแฮ็กที่ใหญ่ที่สุดบางส่วนของปีนี้อธิบายได้ว่าทำไม DeFi ถึงมี กลายเป็นเป้าหมายยอดนิยมสำหรับผู้โจมตี จำนวนเงินที่พวกเขาสามารถขโมยได้นั้นมหาศาล แฮ็คที่แพงที่สุดในปีนี้คือ Ronin Validator การละเมิดความปลอดภัย. เมื่อวันที่ 23 มีนาคม บุคคลหรือบุคคลที่รับผิดชอบการโจมตีสามารถประนีประนอมโหนดตรวจสอบ Ronin และ Axie DAO ของ Sky NMavis แฮ็คคีย์ส่วนตัวและทำการถอนเงินอย่างผิดกฎหมาย พวกเขาขโมย 173,600 ETH ที่น่าเหลือเชื่อและ 25.5 ล้าน USDC รวมเป็น 615.5 ล้านดอลลาร์ผ่านธุรกรรมเพียงสองธุรกรรม
น่าเสียดายที่การแฮ็กของ Ronin ไม่ใช่แค่เหตุการณ์ที่แยกออกมา ในเดือนกุมภาพันธ์ แฮกเกอร์ ใช้ช่องโหว่ด้านความปลอดภัย ในการตรวจสอบลายเซ็นของ Wormhole ทำให้พวกเขาสามารถทำเงินได้ 120,000 weTH บน Solana ซึ่งเป็นจำนวนเงินมูลค่า 326 ล้านดอลลาร์ ณ เวลาที่โจมตี ในทำนองเดียวกัน ในเดือนเมษายน โปรโตคอล Beanstalk ตกเป็นเหยื่อ ล่าช้าไปหนึ่งวันภายในสัญญาข้อเสนอการกำกับดูแล $BEAN เพื่อดำเนินการสินเชื่อแฟลชให้เสร็จสิ้น ผู้โจมตีสามารถขโมยเมล็ดพืชทั้งหมด 70% และหนีไปได้ทั้งหมด 181 ล้านดอลลาร์
การตรวจหาช่องโหว่ของสัญญาอัจฉริยะ
การแฮ็ก DeFi ส่วนใหญ่เกิดขึ้นเนื่องจากช่องโหว่ในสัญญาอัจฉริยะที่ขับเคลื่อนโปรโตคอล สัญญาอัจฉริยะคือบิตโค้ดที่ดำเนินการด้วยตนเอง ซึ่งจะประมวลผลธุรกรรมโดยอัตโนมัติเมื่อตรงตามเงื่อนไขบางประการ พวกเขาเป็นหนึ่งในองค์ประกอบหลักของ DeFi เนื่องจากพวกเขาทำให้ข้อกำหนดสำหรับตัวกลางที่เชื่อถือได้ซ้ำซ้อน
ข่าวดีก็คือชุมชนทราบดีว่าสัญญาอัจฉริยะเป็นจุดอ่อนที่เห็นได้ชัดในการรักษาความปลอดภัย DeFi และกำลังดำเนินการเพื่อแก้ไขปัญหาเหล่านี้ โปรโตคอล DeFi ที่น่าเชื่อถือที่สุดในปัจจุบันจะต้องดำเนินการอย่างครอบคลุม การตรวจสอบสัญญาอัจฉริยะ เพื่อระบุว่ามีช่องโหว่ใด ๆ อยู่หรือไม่ การตรวจสอบดำเนินการโดยบริษัทที่เชื่อถือได้ เช่น CertiK และ Hacken และประเมินธุรกรรมที่บันทึกไว้ภายในบัญชีแยกประเภทบล็อคเชนเพื่อพยายามตรวจหาจุดบกพร่อง
วิธีอื่นๆ ในการระบุช่องโหว่ ได้แก่ การทดสอบการเจาะ โดยทีมผู้เชี่ยวชาญด้านความปลอดภัยที่พยายามแฮ็คโปรโตคอล DeFi เพื่อให้พวกเขาสามารถแจ้งให้นักพัฒนาทราบถึงวิธีการที่พวกเขาทำ ซึ่งช่วยให้พวกเขาสามารถปิดช่องโหว่ใดๆ ที่ค้นพบได้ นอกจากนี้ โปรโตคอลยังสามารถเสนอ "ค่าหัวบั๊ก" ได้อีกด้วย ซึ่งจะเป็นการรักษาความปลอดภัยแบบคราวด์ซอร์ส แฮ็กเกอร์ "หมวกขาว" หลายสิบคนแข่งขันกันเพื่อชิงเงินรางวัลเพื่อระบุช่องโหว่ภายในโปรโตคอล รางวัลบั๊ก อาจเป็นประโยชน์อย่างยิ่ง เนื่องจากพวกเขาจูงใจให้ผู้เข้าร่วมทำตัวเหมือนอาชญากรไซเบอร์จริงๆ ซึ่งหมายความว่าพวกเขาน่าจะพยายามแฮ็คโปรโตคอลโดยใช้วิธีการที่คล้ายกันกับผู้ร้ายตัวจริง แนวคิดที่ว่าคนดีจะค้นพบช่องโหว่ที่เห็นได้ชัดก่อนที่พวกเขาจะถูกเปิดเผยในโลกแห่งความเป็นจริง
การตรวจสอบรหัสสัญญาอัจฉริยะและการให้รางวัลบั๊กสามารถช่วยป้องกันโปรโตคอล DeFi จากการแฮ็กทั่วไปเกี่ยวกับข้อยกเว้นที่ไม่สามารถจัดการได้และการขึ้นต่อกันของคำสั่งธุรกรรม อย่างไรก็ตาม การตรวจสอบนั้นไม่มีข้อผิดพลาด – จากการศึกษาของ Chainalaysis พบว่า 30% ของการหาช่องโหว่ในปีนี้เกิดขึ้นบนแพลตฟอร์มที่ได้รับการตรวจสอบภายใน 12 เดือนที่ผ่านมา ดังนั้นแม้ว่าการตรวจสอบโค้ดและค่าหัวบั๊กจะมีประโยชน์ แต่ก็ไม่ได้ให้การรับประกันใดๆ ด้วยเหตุนี้ โปรโตคอล DeFi ที่จัดการเงินทุนของผู้ใช้หลายพันล้านดอลลาร์จึงควรใช้แนวทางด้านความปลอดภัยที่มีประสิทธิภาพมากขึ้น
ปฏิรูปสัญญาอัจฉริยะ
หนึ่งในโซลูชั่นที่น่าตื่นเต้นที่สุดที่จะเกิดขึ้นคือภาษาโปรแกรม Scrypto ที่พัฒนาโดย Radixซึ่งเป็นโปรโตคอลบล็อกเชนเลเยอร์ 1 ที่สร้างขึ้นสำหรับ DeFi โดยเฉพาะ
พื้นที่ ภาษาสคริปโต ขึ้นอยู่กับภาษาการเขียนโปรแกรม Rust ยอดนิยมและยังคงคุณสมบัติส่วนใหญ่ไว้ อย่างไรก็ตาม มันได้เพิ่มฟังก์ชันเฉพาะจำนวนหนึ่งโดยอิงจาก Radix Engine ถือได้ว่าเป็นคอลเล็กชันของไลบรารีและส่วนขยายของ Rust ที่มีฟีเจอร์ที่เน้นเนื้อหา ทำให้ตรรกะแบบ Rust สามารถโต้ตอบกับสินทรัพย์ในฐานะพลเมืองชั้นหนึ่งที่เป็นเจ้าของภาษาได้
ความแตกต่างที่สำคัญที่สุดของ Scrypto คือมันกำจัดสัญญาอัจฉริยะได้อย่างมีประสิทธิภาพ แทนที่จะใช้สัญญาอัจฉริยะ มันใช้พิมพ์เขียวและส่วนประกอบในการประมวลผลธุรกรรม พิมพ์เขียวเป็นซอร์สโค้ดที่รวบรวมไว้ซึ่งอยู่บนบล็อกเชน ซึ่งทุกคนสามารถใช้ได้ บทบาทของพวกเขาคือการจัดเตรียม "ฟังก์ชันคอนสตรัคเตอร์" สำหรับธุรกรรม DeFi ด้วยพารามิเตอร์ที่ยืดหยุ่นซึ่งผู้อื่นสามารถสร้างอินสแตนซ์ได้ โดยทั่วไปแล้วพวกเขาค่อนข้างเชี่ยวชาญในแง่ของการทำงาน แม้ว่าจะสามารถรองรับกรณีการใช้งานที่แตกต่างกันได้หลายกรณี ขึ้นอยู่กับว่าสร้างอินสแตนซ์อย่างไร พิมพ์เขียวบางครั้งสามารถทำงานร่วมกับพิมพ์เขียวอื่นๆ โดยใช้งานร่วมกันเป็น "แพ็คเกจ"
ในการเปิดใช้งานพิมพ์เขียว จะต้องสร้างอินสแตนซ์โดยเรียกใช้ฟังก์ชันตัวสร้างอย่างใดอย่างหนึ่งเพื่อรับที่อยู่ของอินสแตนซ์ที่สร้างขึ้นใหม่ ซึ่งเรียกว่า "ส่วนประกอบ" คอมโพเนนต์ใช้เพื่อจัดการสถานะ และสามารถรวบรวม ยึด และแจกจ่ายทรัพยากรตามตรรกะที่เกี่ยวข้องภายในพิมพ์เขียวที่สร้างขึ้น กล่าวอีกนัยหนึ่ง ส่วนประกอบใน Scrypto คล้ายกับสัญญาอัจฉริยะ อย่างไรก็ตาม พวกมันได้มาจากตรรกะที่กำหนดไว้ภายในพิมพ์เขียวที่ให้กำเนิดมัน
สถาปัตยกรรมที่เป็นเอกลักษณ์ของ Scrypto ช่วยให้สามารถทำธุรกรรมในรูปแบบที่ต่างไปจากเดิมอย่างมากกับสัญญาอัจฉริยะทั่วไปที่เขียนด้วย Solidity หรือภาษาอื่น แทนที่จะส่งหมายเลขหรือการอ้างอิงไปยังโทเค็นบางส่วน Radix Engine จะโอนความเป็นเจ้าของโทเค็นจากผู้โทรไปยังส่วนประกอบ เมื่อองค์ประกอบนั้นได้รับชุดทรัพยากรหรือหลายชุดข้อมูล ก็สามารถนำทรัพยากรเหล่านั้นไปฝากไว้ในห้องนิรภัยที่เก็บไว้ หรือถังอื่น จากนั้น Radix Engine จะทำให้แน่ใจว่าผู้โทรไม่สามารถเข้าถึงบัคเก็ตหรือห้องนิรภัยได้อีกต่อไป
ผลลัพธ์ที่ได้คือ dApps ที่สร้างบน Radix มีวิธีการทำธุรกรรมที่ง่ายกว่าและปลอดภัยกว่ามาก เพื่อให้เข้าใจวิธีการทำงานดีขึ้น Radix ขอเสนอ ตัวอย่างเครื่องกัมบอล ที่รับโทเค็น USD เพื่อแลกกับโทเค็นที่เก็บไว้ในห้องนิรภัย
ในตัวอย่างนี้ ผู้ใช้ส่งฝากข้อมูล 0.25 USD ไปยังเมธอด insertCoins ของส่วนประกอบ MyMachine ตรรกะของพิมพ์เขียวเห็นว่าได้จ่ายราคาที่ถูกต้องแล้ว เพิ่มโทเค็นเหล่านั้นไปที่ตู้นิรภัย จากนั้นนำกัมบอล 1 ลูกออกจากคลังกัมบอลและส่งกลับไปยังผู้โทร มันสามารถส่งคืนการเปลี่ยนแปลงบางอย่างได้หากผู้โทรส่ง USD มากเกินไป
ด้วยสัญญาอัจฉริยะที่ใช้ Solidity ของ Ethereum มันจึงซับซ้อนและมีความเสี่ยงมากขึ้น ในเครื่องเดียวกัน ผู้ใช้จะเรียกสัญญาอัจฉริยะเพื่อให้เครื่องอนุญาตให้ถอนออกจากกระเป๋าเงินในนามของพวกเขา พวกเขาจะบอกเครื่องว่าต้องการป้อน 0.25 USD เครื่องจะเรียกสัญญา USD เพื่อทำการถอน จากนั้นเรียกสัญญาอัจฉริยะของ gumball เพื่อส่งกัมบอลไปยังผู้ใช้ สุดท้าย มันอาจจะอัปเดตแคชภายในของจำนวนกัมบอลที่เหลืออยู่เพื่อตรวจสอบ eros แต่ละกระบวนการเหล่านี้ใช้สัญญาอัจฉริยะ ดังนั้นแต่ละกระบวนการจึงมีความเสี่ยงที่จะถูกแฮ็กเนื่องจากช่องโหว่ของสัญญาอัจฉริยะ
นั่นเป็นเพียงตัวอย่างง่ายๆ ด้วย DeFi ธุรกรรมอาจมีความซับซ้อนมากขึ้นหลายเท่า ซึ่งหมายความว่าพวกเขามีความเสี่ยงหลายเท่า สิ่งที่ต้องทำคือช่องโหว่เพียงจุดเดียวในสัญญาอัจฉริยะใดๆ ที่เกี่ยวข้องกับธุรกรรม เพื่อให้ผู้โจมตีสามารถโจมตีได้
สรุป
เมื่อ DeFi เติบโตขึ้นและมูลค่ารวมของการล็อคเพิ่มขึ้น ความเสี่ยงของการแสวงหาผลประโยชน์ก็จะเพิ่มขึ้นเท่านั้น หากมีสิ่งใดที่เรารวบรวมได้จากจำนวน crypto ที่น่าทึ่งที่ถูกขโมยโดย DeFi hacks ความจำเป็นในการรักษาความปลอดภัยสัญญาอัจฉริยะไม่เคยมีมากไปกว่านี้ แม้ว่าการตรวจสอบโค้ดและค่าหัวบั๊กสามารถช่วยระบุช่องโหว่ที่ชัดเจนที่สุดใน DeFi ได้ แต่ก็ชัดเจนว่าอุตสาหกรรมจะได้รับประโยชน์อย่างมากมายจากการยกเครื่องครั้งใหญ่โดยอิงจากโครงสร้างพื้นฐานที่ออกแบบมาเพื่อลดจำนวนช่องโหว่ที่อาจเกิดขึ้นจากการเริ่มใช้งาน
ข้อจำกัดความรับผิดชอบ: บทความนี้จัดทำขึ้นเพื่อจุดประสงค์ในการให้ข้อมูลเท่านั้น ไม่ได้นำเสนอหรือมีวัตถุประสงค์เพื่อใช้เป็นคำแนะนำทางกฎหมายภาษีการลงทุนการเงินหรืออื่น ๆ
ที่มา: https://cryptodaily.co.uk/2022/08/as-defi-hacks-soar-this-startup-wants-to-radically-overhaul-smart-contracts-to-prevent-them