Сектор децентрализованного финансирования продолжает набирать беспрецедентную популярность, поскольку общая стоимость активов, заблокированных в продуктах DeFi, в июле увеличилась вдвое, превысив 4 миллиарда долларов, и сейчас составляет приближается отметка в 5 миллиардов долларов.
В то же время повышенный спрос на такие приложения среди пользователей и разработчиков делает их мишенью для злоумышленников из-за соблазна прямого доступа к средствам. За последние несколько месяцев хакеры украли более 27 миллионов долларов из проектов DeFi, и в ближайшем будущем ожидается появление новых атак. Если это так, то будет ли сектор DeFi сильно полагаться на Ethereum в плане безопасности и принесет ли запуск ETH 2.0 больше улучшений в этой области?
Приложения DeFi – новые криптобиржи для хакеров
В то время как в 2018–2019 годах криптобиржи были целью номер один для хакерских атак, в 2020 году в центре внимания будет децентрализованный финансовый рынок. Это во многом стало возможным благодаря уязвимостям в смарт-контрактах платформ и технически несовершенным механизмам безопасности. При этом, как показывает история взломов, злоумышленники используют не только уязвимости, но и различные легитимные возможности блокчейна для проведения атак.
Так в начале августа хакеры атаковали Opyn, протокол, который иронично утверждает, что имеет дело с защитой DeFi. Около 371000 долларов было украдено из-за использования собственного токена проекта, в результате чего была реализована атака с двойным расходом на пут-опционы Ethereum, предоставив доступ к средствам пользователей.
Ранее уязвимость в коде смарт-контракта привела к еще одному взлому проекта DeFi, в ходе которого было украдено 25 миллионов долларов из протокола децентрализованного кредитования Lendf.me и децентрализованной криптобиржи Uniswap. Оба набора разработчиков создали свои собственные надстройки на основе протокола ERC-777, что сделало смарт-контракты уязвимыми для атак с повторным входом. Во время такой атаки хакеры повторно снимают средства, пока их исходная транзакция не будет одобрена или отклонена.
Еще один взлом произошел 28 июня, опять же из-за уязвимости кода. Хакеры украли более 500000 долларов в ETH и других альткойнах с платформы Balancer с помощью механизма дефляции токенов, который уничтожает 1% суммы транзакции при каждом переводе средств.
Виноват Эфириум?
Очевидно, что ахиллесова пята проектов DeFi – это ошибки и уязвимости в кодах смарт-контрактов, но что или кто именно виноват в этом? Это разработчики DeFi, которые не тестируют или не проверяют код перед запуском своих приложений должным образом, или виновата архитектура Ethereum, а это означает, что от платформ мало что зависит?
С одной стороны, как ранее сообщил Cointelegraph Брайан Керр, генеральный директор кредитной платформы DeFi Kava Labs, архитектура блокчейна Ethereum не способна отвечать требованиям безопасности сектора DeFi, потому что тестирование возможных ошибок на языке программирования Solidity практически невозможно.
Однако большинство платформ DeFi построены на платформе блокчейна Ethereum и, следовательно, экспериментируют с исходным исходным кодом, особенно если результат этих экспериментов не будет тщательно проверяться перед запуском финальной версии продукта, что потенциально открывает двери для хакеров.
Шаян Эскандари, инженер по безопасности и аудитор ConsenSys Diligence, сказал Cointelegraph, что большинству взломов DeFi предшествовали изменения, внесенные разработчиками незадолго до запуска платформы. Например, ERC-20 не был реализован стандартным способом, или некоторые новые конструкции токенов добавляли функциональные возможности, которые изменяли поведение токена ERC-20, вызывая непредвиденные проблемы. По словам Эскандари, такие изменения привели к атакам на пул Balancer и взлому Lendf.me.
Это говорит о том, что в некоторых случаях виноваты команды, работающие на определенных платформах. В беседе с Cointelegraph Арни Хилл, генеральный директор Plutus DeFi – агрегатора полного цикла DeFi, – отметил, что большинство разработчиков DeFi не уделяют достаточного внимания безопасности, поскольку они находятся на ранней стадии разработки продукта: «Сегодня разработчики платят больше внимания технической стороне и капитализации, сосредоточив внимание на том, как создавать услуги кредитования на блокчейне, а не на безопасности смарт-контрактов ».
Кроме того, сложность продуктов DeFi играет с ними злую шутку, согласно Ларри Сукернику, инвестору Digital Currency Group: «Вы получаете людей с большими мозгами, которых нужно заставить работать. А когда их заставляют работать, в результате часто получается сложный, блестящий, но совершенно непригодный для использования продукт ».
Чарли Ли, создатель Litecoin (LTC), ранее утверждал, что во всем виновата децентрализация. Фактически децентрализация стала причиной взлома протокола опций Opyn, поскольку команда не могла контролировать или временно отключить его в случае атаки.
Однако присутствие хакеров – естественное явление, учитывая молодость отрасли. Тем не менее, по мере развития сектора DeFi его разработчики должны в полной мере осознавать растущие риски безопасности и работать над их снижением, считает Хилл:
«Масштабирование рынка требует использования более серьезных механизмов защиты и сотрудничества с регулирующими органами и аудиторами. В конце концов, это уже не просто сеть DApps, а многомиллиардный финансовый рынок, который находится на ранней стадии своего развития, и, следовательно, взломы неизбежны, как и в случае с цифровыми технологиями. банковское дело несколько лет назад ».
Согласно последним доклад опубликовано исследовательской компанией Dgen в сотрудничестве с протоколом DeFi Aave с открытым исходным кодом. С тех пор, как проекты DeFi стали объектами взлома, разработчики начали работать над песочницами и четкими структурами для разрешения споров. Аналитики также отметили, что до тех пор, пока масштабирование является наивысшим приоритетом для разработчиков DeFi прямо сейчас, серьезные взломы, подобные инциденту с DAO в 2016 году, скорее всего, повторится снова.
Другая возможная проблема, стоящая за проектами децентрализованного финансирования, заключается в том, что они полагаются на оракулы данных для предоставления важных данных, таких как цены на активы. Ускоряющийся рост платформ и продуктов DeFi с их уникальной компоновкой создает взаимозависимости и требует надежного источника данных о ценах на активы, как объяснил Пол Клавдиус, соучредитель DIA – швейцарской платформы оракулов DeFi с открытым исходным кодом – который сказал Cointelegraph:
«В настоящее время большинству проектов DeFi не хватает прозрачного, надежного и надежного решения для данных о ценах. Многие даже не разделяют методологий, используемых оракулами для получения данных о ценах. Это создает значительные риски, поскольку злоумышленники могут использовать как технологические, так и методологические уязвимости с ненадежными источниками данных ».
Аудит, комплексная проверка и страхование
Итак, могут ли команды DeFi что-нибудь сделать для снижения рисков безопасности, учитывая, что существует множество продуктов, которые успешно поддерживают высокий уровень безопасности для своих собственных средств и средств пользователей?
Марк Зеллер, руководитель интеграции в Aave, подчеркнул важность проведения процедур должной осмотрительности перед добавлением нового токена на платформу DeFi, чтобы избежать серьезных взломов протоколов. Он также отметил, что проекты, связанные с децентрализованным финансированием, могут использовать услуги страховых компаний для дальнейшей защиты средств пользователей, хотя этого не всегда достаточно.
Говоря о роли страхования в борьбе со взломами, Кейн Уорвик, основатель платформы синтетических активов Synthetix, сказал что страхование DeFi очень ограничено, добавив: «DeFi по-прежнему имеет значительный хвостовой риск, поэтому страхование, вероятно, останется очень дорогостоящим в краткосрочной перспективе, но по мере развития протоколов затраты должны снизиться […] позволяя появиться более простой и полезной страховке ».
Страхование хорошо иметь, если атака уже произошла, но если задача состоит в том, чтобы предотвратить ее, аудит и отслеживание подозрительных транзакций – это то, что необходимо проектам DeFi для обнаружения и устранения уязвимостей в сети до того, как недостатки кода будут использованы хакерами. Аналитики отмечают, что криптовалютные биржи играют важную роль в отслеживании и блокировании криптовалют, которые могли поступить со взломанных платформ.
Связанный: The DeFi Hack: Чем должны быть децентрализованные финансы, а какими не должны быть?
По мере роста отрасли для разработчиков DeFi становится все более важным сотрудничать с регулирующими органами и работать как над песочницами, так и над четкими структурами, которые позволяют разрешать споры и арбитраж в случае взлома. По словам Хилла:
«Масштабирование рынка требует использования более серьезных механизмов защиты и сотрудничества с регулирующими органами и аудиторами. В конце концов, это уже не просто сеть DApps, а многомиллиардный финансовый рынок, который находится на ранней стадии своего развития ».
Принесет ли ETH 2.0 больше безопасности?
Некоторые считают, что наряду с масштабируемостью обновления сети обеспечат безопасность DeFi, в то время как другие говорят, что переход Ethereum 2.0 на алгоритм Proof-of-Stake подвергнет сектор DeFi еще большей опасности. На основе исследования аналитика Таруна Читры, инвестора Dragonfly Capital Хасиба Куреши. пришел пришли к выводу, что протоколы DeFi противоречат механизму сетевой безопасности, основанному на алгоритме PoS. Проблема в том, что средства, заблокированные в кредитах DeFi, не участвуют в стейкинге и, следовательно, являются ценной бумагой.
Аналитики МолохДао подтвердил что переход на ETH 2.0 может открыть новые векторы атак для приложений DeFi. Однако есть и положительная сторона – атаки на ETH 2.0 легче масштабировать, чем атаки на ETH 1.0.
По теме: Используйте с пользой: Ethereum набирает серьезные цифры, чтобы установить ориентиры
По мнению аналитиков Consensys Таннера Хобана и Тома Боргерса, перед развертыванием индустрия DeFi столкнется с множеством новых атак, особенно на первых этапах перехода на Ethereum 2.0. Причина в том, что в начале перехода валидаторы должны заблокировать свой ETH до тех пор, пока цепочка Proof-of-Work не будет полностью объединена с цепочкой Pro-of-Stake. Это снизит ликвидность и, по мнению авторов исследования, может привести к централизации.
Так что вполне вероятно, что продукты DeFi снова столкнутся с серьезными взломами, но с развитием инструментов страхования и аудита, а также выходом на рынок глобальных регуляторов, в конечном итоге они станут более безопасными. Ethereum 2.0 может добавить свою ложку дегтя, но с медленным и постепенным развертыванием новой модели и достаточным тестированием риски, вероятно, будут минимизированы.