დღესდღეობით, ბლოკჩეინის ბაზარი, როგორც მთლიანობაში, საწყის ეტაპზეა და დეცენტრალიზებული ფინანსები (DeFi) ბაზარი მისი ყველაზე პერსპექტიული ნაწილია. DefiLlama-ს მონაცემებით, 2021 წელს, DeFi-ის ბაზარს დაახლოებით 200 მილიარდი დოლარის ლიკვიდობა ჰქონდა ჩაკეტილი ჭკვიან კონტრაქტებში. თუ ამ კაპიტალს განვიხილავთ, როგორც საწყის ინვესტიციას, ეს ბაზარი გამოიყურება როგორც უაღრესად პერსპექტიული საწარმო. არც ისე ბევრი გლობალური კომპანია შეიძლება დაიკვეხნოს ასეთი კაპიტალიზაციით. მაგრამ ნებისმიერ ახალგაზრდა ბაზარს აქვს თავისი პრობლემები. DeFi-სთან ერთად, მთავარი პრობლემა არის ბლოკჩეინის კვალიფიციური დეველოპერების ნაკლებობა.
ეს ინდუსტრია ძალიან ახალგაზრდაა და აქვს შედარებით მცირე მომხმარებელთა ბაზა. ადამიანების უმეტესობას საუკეთესო შემთხვევაში სმენია DeFi-ს შესახებ, ყოველგვარი წარმოდგენის გარეშე რა არის ეს. მაგრამ როგორც ეს ხდება ყოველ ახალ პერსპექტიულ წამოწყებაში, ის სწრაფად ქმნის უამრავ სპეკულაციურ ინტერესს. სამწუხაროდ, პერსონალის მომზადებას გაცილებით მეტი დრო სჭირდება, განსაკუთრებით მაშინ, როდესაც საქმე ეხება ცოდნის ინტენსიურ სფეროებს, როგორიცაა ბლოკჩეინი და ჭკვიანი კონტრაქტის განვითარება. ეს ნიშნავს, რომ პროექტის ზოგიერთ გუნდს მოუწევს კომპრომისზე წასვლა და ნაკლებად გამოცდილი პერსონალის დაქირავება.
ეს პრობლემა გარდაუვალია ქმნის უსაფრთხოების ხარვეზების მზარდ რისკს ამ პროექტების კოდექსში. და შემდეგ ჩვენ უნდა გავუმკლავდეთ მის შედეგებს დაკარგული მომხმარებლის კაპიტალში. მოკლედ იმის გასაგებად, თუ რამდენად დიდია ეს პრობლემა, შემიძლია ვთქვა, რომ DeFi-ის ჩაკეტილი მთლიანი ლიკვიდობის დაახლოებით 10% მოიპარეს ჰაკერების მიერ. არავის არ უნდა გაუკვირდეს, რომ მეინსტრიმ საზოგადოებას ამჯობინებს თავი შორს დაიჭიროს ფინანსური სისტემისგან, რომელიც ასეთ საფრთხეებს უქმნის მათ ფონდებს.
ამავე თემაზე: როგორ ხდება DeFi პროტოკოლების გატეხვა?
როგორ შეიცვალა DeFi ექსპლოიტები ბოლო დროს?
DeFi-ზე თავდასხმები დიდი ხანია ორიენტირებულია ხელახალი შეტევების გარშემო. შეგვიძლია გავიხსენოთ ცნობილი 2016 წლის DAO ჰაკი, რამაც გამოიწვია ინვესტორების კაპიტალის 150 მილიონი დოლარის დაკარგვა და Ethereum-ის მძიმე ჩანგალი გამოიწვია. მას შემდეგ, ეს დაუცველობა არაერთხელ იქნა გამოყენებული სხვადასხვა სმარტ კონტრაქტებში.
გამოძახების ფუნქცია აქტიურად გამოიყენება სესხის გაცემის პროტოკოლებით: ის საშუალებას აძლევს ჭკვიან კონტრაქტებს შეამოწმონ მომხმარებლების გირაოს ბალანსი სესხის გაცემამდე. მთელი ეს პროცესი ხდება ერთი ტრანზაქციის ფარგლებში, რამაც ჰაკერებს საშუალება მისცა მოიპარონ ფული ასეთი ჭკვიანი კონტრაქტებიდან. როდესაც თქვენ აგზავნით მოთხოვნას თანხების სესხებაზე, გამოძახების ფუნქცია ჯერ ამოწმებს უზრუნველყოფის ბალანსს, შემდეგ გასცემს სესხს, თუ უზრუნველყოფა საკმარისი იყო და შემდეგ ცვლის მომხმარებლის გირაოს ბალანსს სმარტ კონტრაქტში.
ჭკვიანი კონტრაქტის მოსატყუებლად, ჰაკერები ზარს უბრუნებენ გამოძახების ფუნქციას, რათა თავიდანვე დაიწყოს ეს პროცესი. ვინაიდან ტრანზაქცია არ დასრულებულა ბლოკჩეინზე, ფუნქცია გასცემს სხვა სესხს იმავე გირაოს ბალანსზე. მიუხედავად იმისა, რომ ამ პრობლემის გადაწყვეტა უკვე დიდი ხანია სცენაზეა, ბევრი პროექტი მაინც ხდება მისი მსხვერპლი.
ზოგჯერ, გონიერი კონტრაქტების დაწერის მცირე უნარის მქონე პროექტის გუნდები გადაწყვეტენ ისესხონ სხვა ღია კოდის DeFi პროექტის კოდის ბაზა, რათა განათავსონ საკუთარი ჭკვიანი კონტრაქტი. როგორც წესი, ისინი ამას აკეთებენ რეპუტაციის მქონე პროექტებით, რომლებიც აუდიტირებულია და აქვთ დიდი მომხმარებლების ბაზები და უსაფრთხოდ აშენებული. მაგრამ მათ შეიძლება გადაწყვიტონ ნასესხებ კოდში მცირე ცვლილებების შეტანა, რათა დაამატონ ფუნქციები, რომლებიც უნდა ჰქონდეთ მათ სმარტ კონტრაქტში, ორიგინალური კოდის შეცვლის გარეშეც კი. ამან შეიძლება ზიანი მიაყენოს ჭკვიანი კონტრაქტის ლოგიკას, რასაც დეველოპერები ხშირად ვერ აცნობიერებენ.
ეს არის ის, რაც ჰაკერებს საშუალება მისცეს მოიპარონ დაახლოებით 19 მილიონი დოლარი Cream Finance-დან 2021 წლის აგვისტოში. Cream Finance-ის გუნდმა ისესხა კოდი სხვა DeFi პროტოკოლიდან და დაამატა გამოძახების ჟეტონი თავის სმარტ კონტრაქტში. მიუხედავად იმისა, რომ თქვენ შეგიძლიათ თავიდან აიცილოთ ხელახალი შეტევები „შემოწმების, ეფექტების, ურთიერთქმედების“ ნიმუშის განხორციელებით, რომელიც პრიორიტეტად ანიჭებს ბალანსის შეცვლას სახსრების გაცემასთან შედარებით, ზოგიერთი გუნდი მაინც ვერ იცავს თავის პლატფორმებს ამ ექსპლოიტებისგან.
Flash სესხის შეტევები ჰაკერებს საშუალებას აძლევს მოიპარონ სახსრები სხვაგვარად და სულ უფრო პოპულარული ხდება 2020 წლის DeFi-ის ბუმის შემდეგ. Flash სესხის შეტევების მთავარი იდეა არის ის, რომ თქვენ არ გჭირდებათ გირაოს ქონა პროტოკოლიდან თანხების სესხებისთვის, რადგან ფინანსური პარიტეტი ჯერ კიდევ გარანტირებულია. იმით, რომ სესხის აღება და დაბრუნება ხდება ერთი ტრანზაქციის ფარგლებში. და ის არ განხორციელდება, თუ თქვენ ვერ დააბრუნებთ სესხს პროცენტით ერთ ტრანზაქციაში. მაგრამ თავდამსხმელებმა შეძლეს წარმატებული ფლეშ სესხის შეტევების განხორციელება ბევრ პროტოკოლზე.
ამავე თემაზე: საჭიროა: მასიური საგანმანათლებლო პროექტი ჰაკებსა და თაღლითებთან საბრძოლველად
მათი შესრულებისას ისინი იყენებენ მრავალ პროტოკოლს ლიკვიდობის გასასესხებლად და გადასატანად საბოლოო აქტამდე, სადაც ისინი აძლიერებენ ტოკენის ფასს ორაკულების ან ლიკვიდობის აუზების მეშვეობით და იყენებენ მას ტუმბოს გასაყალბებლად და ლიკვიდურობის გაქრობის მიზნით. ზოგიერთი ძირითადი სხვადასხვა კრიპტოვალუტის, როგორიცაა ეთერი (ETH), Wrapped Bitcoin (wBTC) და სხვა. ზოგიერთი ცნობილი ფლეშ სესხის შეტევა მოიცავს ბლინი Bunny თავდასხმა, სადაც პროტოკოლმა 200 მილიონი დოლარი დაკარგა და კიდევ ერთი Cream Finance შეტევა, რომელშიც 100 მილიონ დოლარზე მეტი მოიპარეს.
როგორ დავიცვათ თავი DeFi ექსპლოიტისგან?
უსაფრთხო DeFi პროტოკოლის შესაქმნელად, იდეალურ შემთხვევაში, თქვენ უნდა ენდოთ მხოლოდ გამოცდილ ბლოკჩეინის დეველოპერებს. მათ უნდა ჰქონდეთ პროფესიონალი გუნდის ლიდერი დეცენტრალიზებული აპლიკაციების შექმნის უნარით. ასევე გონივრული იქნება გახსოვდეთ უსაფრთხო კოდის ბიბლიოთეკების გამოყენება განვითარებისთვის. ზოგჯერ, ნაკლებად განახლებული ბიბლიოთეკები შეიძლება იყოს ყველაზე უსაფრთხო ვარიანტი, ვიდრე უახლესი კოდის ბაზების მქონე ბიბლიოთეკები.
ტესტირება არის კიდევ ერთი გადამწყვეტი რამ ყველა სერიოზული DeFi პროექტი უნდა გააკეთოს. როგორც ჭკვიანი კონტრაქტის აუდიტორული კომპანიის აღმასრულებელი დირექტორი, მე ყოველთვის ვცდილობ დავფარო ჩვენი კლიენტების კოდის 100% და ხაზი გავუსვა პირადი გასაღებების დეცენტრალიზებული დაცვის მნიშვნელობას, რომლებიც გამოიყენება შეზღუდული წვდომის მქონე ჭკვიანი კონტრაქტების ფუნქციების გამოსაძახებლად. უმჯობესია გამოვიყენოთ საჯარო გასაღების დეცენტრალიზაცია მრავალხელმოწერის საშუალებით, რაც ხელს უშლის ერთ სუბიექტს ჰქონდეს სრული კონტროლი კონტრაქტზე.
საბოლოო ჯამში, განათლება არის ერთ-ერთი გასაღები, რომელიც საშუალებას მისცემს ბლოკჩეინზე დაფუძნებულ ფინანსურ სისტემებს გახდნენ უფრო უსაფრთხო და საიმედო. და განათლება უნდა იყოს ერთ-ერთი მთავარი საზრუნავი მათთვის, ვინც ეძებს დასაქმებას DeFi-ში, რადგან მას შეუძლია შესთავაზოს საინტერესო ჯილდოები ყველას, ვისაც შეუძლია სიცოცხლისუნარიანი წვლილი შეიტანოს.
ეს სტატია არ შეიცავს ინვესტიციურ რჩევებს ან რეკომენდაციებს. ყოველი ინვესტიცია და სავაჭრო ნაბიჯი შეიცავს რისკს და მკითხველმა გადაწყვეტილების მიღებისას უნდა ჩაატაროს საკუთარი კვლევა. აქ გამოთქმული მოსაზრებები, მოსაზრებები და მოსაზრებები მხოლოდ ავტორისეულია და სულაც არ ასახავს ან წარმოადგენს Cointelegraph- ის შეხედულებებს და მოსაზრებებს. დიმიტრი მიშუნინი არის DeFi უსაფრთხოებისა და ანალიტიკური კომპანიის HashEx-ის დამფუძნებელი და აღმასრულებელი დირექტორი და აქვს დიდი ხნის გამოცდილება ბლოკჩეინის უსაფრთხოების სფეროში. მან დიდი დრო დაუთმო სამეცნიერო საქმიანობას, როგორიცაა IT სისტემების, ბლოკჩეინისა და DeFi-ის დაუცველობის კვლევა. დიმიტრის ხელმძღვანელობით, HashEx გახდა ერთ-ერთი ლიდერი ჭკვიანი კონტრაქტების აუდიტის სფეროში. წყარო: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi