ტექნიკური

DeFi შეტევები იზრდება - შეძლებს თუ არა ინდუსტრია შეაჩეროს ტალღა?

05/14/2022
Bitcoin Ethereum News

დეცენტრალიზებულმა ფინანსებმა (DeFi) ინდუსტრიამ დაკარგა მილიარდ დოლარზე მეტი ჰაკერების გამო ბოლო ორი თვის განმავლობაში და სიტუაცია, როგორც ჩანს, კონტროლიდან გადის.

უახლესი სტატისტიკის მიხედვით, დაახლოებით 1.6 მილიარდი დოლარი კრიპტოვალუტა მოიპარეს DeFi პლატფორმებიდან 2022 წლის პირველ კვარტალში. გარდა ამისა, ყველა გატაცებული კრიპტოპოსტის 90%-ზე მეტი არის გატეხილი DeFi პროტოკოლებიდან.

ეს მაჩვენებლები ხაზს უსვამს მძიმე ვითარებას, რომელიც, სავარაუდოდ, გრძელვადიან პერსპექტივაში გაგრძელდება, თუ უგულებელყოფთ.

რატომ ურჩევნიათ ჰაკერები DeFi პლატფორმებს

ბოლო წლებში ჰაკერებმა გააძლიერეს ოპერაციები DeFi სისტემების მიმართ. ერთ-ერთი მთავარი მიზეზი იმისა, თუ რატომ მიიზიდა ეს ჯგუფები სექტორში, არის დეცენტრალიზებული ფინანსური პლატფორმების თანხების დიდი რაოდენობა. ტოპ DeFi პლატფორმები ყოველთვიურად ამუშავებენ მილიარდობით დოლარის ტრანზაქციას. როგორც ასეთი, ჯილდოები მაღალია ჰაკერებისთვის, რომლებსაც შეუძლიათ წარმატებული შეტევების განხორციელება.

ის ფაქტი, რომ DeFi პროტოკოლის კოდების უმეტესობა ღია წყაროა, ასევე ხდის მათ კიბერუსაფრთხოების საფრთხეებისადმი მიდრეკილებას.

ეს იმიტომ ხდება, რომ ღია კოდის პროგრამები ხელმისაწვდომია საზოგადოებისთვის და მათი აუდიტის შემოწმება შეუძლია ნებისმიერს, ვისაც აქვს ინტერნეტი. როგორც ასეთი, ისინი ადვილად იჭრება ექსპლოიტეტებისთვის. ეს თანდაყოლილი თვისება ჰაკერებს საშუალებას აძლევს გააანალიზონ DeFi აპლიკაციები მთლიანობის საკითხებისთვის და წინასწარ დაგეგმონ ძარცვა.

DeFi-ის ზოგიერთმა დეველოპერმა ასევე წვლილი შეიტანა ვითარებაში იმით, რომ განზრახ უგულებელყო პლატფორმის უსაფრთხოების აუდიტის ანგარიშები, რომლებიც გამოქვეყნებულია სერტიფიცირებული კიბერუსაფრთხოების ფირმების მიერ. ზოგიერთი დეველოპერული გუნდი ასევე იწყებს DeFi პროექტებს უსაფრთხოების ვრცელი ანალიზის გარეშე. ეს ზრდის კოდირების დეფექტების ალბათობას.

ჯავშანტექნიკის კიდევ ერთი ნაკლი, როდესაც საქმე DeFi-ს უსაფრთხოებას ეხება, არის ეკოსისტემების ურთიერთდაკავშირება. DeFi პლატფორმები, როგორც წესი, ურთიერთდაკავშირებულია ჯვარედინი ხიდების გამოყენებით, რაც აძლიერებს მოხერხებულობას და მრავალფეროვნებას.

მიუხედავად იმისა, რომ ჯვარედინი ხიდები უზრუნველყოფს მომხმარებლის გაუმჯობესებულ გამოცდილებას, კოდის ეს გადამწყვეტი ფრაგმენტები აკავშირებს განაწილებული წიგნების უზარმაზარ ქსელებს უსაფრთხოების სხვადასხვა დონით. ეს მულტიპლექსის კონფიგურაცია საშუალებას აძლევს DeFi ჰაკერებს გამოიყენონ მრავალი პლატფორმის შესაძლებლობები გარკვეულ პლატფორმებზე თავდასხმების გასაძლიერებლად. ის ასევე საშუალებას აძლევს მათ სწრაფად გადაიტანონ უკანონოდ მიღებული თანხები მრავალ დეცენტრალიზებულ ქსელში შეუფერხებლად.

Image

გარდა ზემოაღნიშნული რისკებისა, DeFi პლატფორმები ასევე მიდრეკილია ინსაიდერული დივერსიისკენ.

უსაფრთხოების დარღვევა

ჰაკერები იყენებენ ტექნიკის ფართო სპექტრს, რათა შეაღწიონ დაუცველ DeFi პერიმეტრულ სისტემაში. 

უსაფრთხოების დარღვევა ჩვეულებრივი მოვლენაა DeFi სექტორში. მიხედვით 2022 წლის Chainalysis-მდე ანგარიშის თანახმად, ბოლო ორი წლის განმავლობაში მოპარული კრიპტოვალუტების დაახლოებით 35% მიეკუთვნება უსაფრთხოების დარღვევებს.

ბევრი მათგანი წარმოიქმნება არასწორი კოდის გამო. ჰაკერები ჩვეულებრივ მნიშვნელოვან რესურსებს უთმობენ სისტემური კოდირების შეცდომების პოვნას, რაც მათ საშუალებას აძლევს განახორციელონ ამ ტიპის შეტევები და, როგორც წესი, გამოიყენონ შეცდომების ტრეკერის მოწინავე ინსტრუმენტები მათ დასახმარებლად.

კიდევ ერთი გავრცელებული ტაქტიკა, რომელსაც იყენებენ საფრთხის მოქმედი პირები დაუცველი პლატფორმების მოსაძებნად, არის ქსელების თვალყურის დევნება უსაფრთხოების შეუცვლელი საკითხებით, რომლებიც უკვე გამოვლენილია, მაგრამ ჯერ არ არის დანერგილი.

ჰაკერები ბოლო Wormhole DeFi ჰაკერული შეტევის უკან, რამაც გამოიწვია დაახლოებით 325 მილიონი დოლარის ზარალი ციფრულ ტოკენებში ნათქვამია, რომ გამოიყენეს ეს სტრატეგია. კოდის დავალებების ანალიზმა აჩვენა, რომ პლატფორმის GitHub საცავში ატვირთული დაუცველობის პატჩი გამოიყენებოდა პატჩის განთავსებამდე.

შეცდომამ შესძლეებს საშუალება მისცა გაეყალბებინათ სისტემის ხელმოწერა, რომელიც საშუალებას აძლევდა 120,000 325 შეფუთული ეთერის (wETH) მონეტის მოჭრას, რომელთა ღირებულება 250 მილიონ დოლარს შეადგენს. შემდეგ ჰაკერებმა გაყიდეს wETH დაახლოებით XNUMX მილიონ დოლარად ეთერში (ETH). გაცვლილი Ethereum მონეტები მიღებული იყო პლატფორმის ანგარიშსწორების რეზერვებიდან, რაც იწვევს დანაკარგებს.

Wormhole სერვისი მოქმედებს როგორც ხიდი ჯაჭვებს შორის. ის მომხმარებლებს საშუალებას აძლევს დახარჯონ დეპონირებული კრიპტოვალუტები შეფუთულ ტოკენებში ჯაჭვებში. ეს მიიღწევა Wormhole-ით შეფუთული ტოკენების მოჭრით, რაც ამსუბუქებს დეპონირებული მონეტების უშუალოდ გაცვლის ან კონვერტაციის საჭიროებას.

Ბოლო: როგორ შეუძლია ბლოკჩეინის არქივებს შეცვალოს, თუ როგორ ვაწერთ ისტორიას ომის დროს

Flash სესხის შეტევები

Flash სესხები არის არაუზრუნველყოფილი DeFi სესხები, რომლებიც არ საჭიროებს საკრედიტო შემოწმებას. ისინი ინვესტორებს და ტრეიდერებს საშუალებას აძლევს, მყისიერად ისესხონ სახსრები.

მათი მოხერხებულობის გამო, ფლეშ სესხები, როგორც წესი, გამოიყენება არბიტრაჟის შესაძლებლობებით სარგებლობისთვის დაკავშირებულ DeFi ეკოსისტემებში.

სწრაფი სესხის შეტევების დროს, სესხის გაცემის პროტოკოლები მიზანმიმართული და კომპრომეტირებულია ფასების მანიპულირების ტექნიკის გამოყენებით, რაც ქმნის ხელოვნურ ფასთა შეუსაბამობას. ეს საშუალებას აძლევს ცუდ მსახიობებს შეიძინონ აქტივები ძალიან შეღავათიანი განაკვეთებით. Flash სესხის შეტევების უმეტესობას რამდენიმე წუთი და ზოგჯერ წამი სჭირდება და მოიცავს რამდენიმე ურთიერთდაკავშირებულ DeFi პროტოკოლს.

ერთ-ერთი გზა, რომლის მეშვეობითაც თავდამსხმელები მანიპულირებენ აქტივების ფასებზე, არის თავდამსხმელი ფასების ორაკულების მიზანმიმართვა. მაგალითად, DeFi-ის ფასის ორაკულები იღებენ განაკვეთებს გარე წყაროებიდან, როგორიცაა ცნობილი ბირჟები და სავაჭრო საიტები. მაგალითად, ჰაკერებს შეუძლიათ მანიპულირება მოახდინონ წყაროს საიტებით, რათა მოატყუონ ორაკულები, რათა მომენტალურად ჩამოაგდონ აქტივების მიზნობრივი განაკვეთების ღირებულება, რათა მათ უფრო დაბალ ფასებში ვაჭრონ, ვიდრე ფართო ბაზარზე.

შემდეგ თავდამსხმელები ყიდულობენ აქტივებს დეფლირებული კურსით და სწრაფად ყიდიან მათ თავიანთი მცურავი გაცვლითი კურსით. ფლეშ სესხებით მიღებული ბერკეტების ტოკენების გამოყენება საშუალებას აძლევს მათ გაზარდონ მოგება.

ფასების მანიპულირების გარდა, ზოგიერთ თავდამსხმელს შეუძლია განახორციელოს ფლეშ სესხის შეტევები DeFi ხმის მიცემის პროცესების გატაცებით. სულ ახლახანს, Beanstalk DeFi-მა 182 მილიონი დოლარის ზარალი განიცადა მას შემდეგ, რაც თავდამსხმელმა ისარგებლა მისი მმართველობის სისტემაში არსებული ხარვეზით.

Beanstalk-ის განვითარების გუნდმა მოიცავდა მართვის მექანიზმს, რომელიც მონაწილეებს საშუალებას აძლევდა ხმის მიცემას პლატფორმის ცვლილებებზე, როგორც ძირითად ფუნქციაზე. ეს კონფიგურაცია პოპულარულია DeFi ინდუსტრიაში, რადგან ის მხარს უჭერს დემოკრატიას. პლატფორმაზე ხმის მიცემის უფლება განისაზღვრა, რომ პროპორციული ყოფილიყო დაცული ტოკენების ღირებულებისა.

დარღვევის ანალიზმა აჩვენა, რომ თავდამსხმელებმა მიიღეს ფლეშ სესხი Aave DeFi პროტოკოლიდან, რათა მიეღოთ თითქმის 1 მილიარდი დოლარის აქტივები. ამან მათ საშუალება მისცა მიეღოთ 67%-იანი უმრავლესობა ხმის მიცემის მართვის სისტემაში და საშუალება მისცა მათ ცალმხრივად დაემტკიცებინათ აქტივების გადაცემა მათ მისამართზე. მოძალადეებმა გადაიხადეს დაახლოებით 80 მილიონი აშშ დოლარი ციფრულ ვალუტაში ფლეშ სესხის და მასთან დაკავშირებული გადასახადების დაფარვის შემდეგ.

Chainalysis-ის თანახმად, დაახლოებით 360 მილიონი დოლარის ღირებულების კრიპტო მონეტები მოიპარეს DeFi პლატფორმებიდან 2021 წელს ფლეშ სესხების გამოყენებით.

სად მიდის მოპარული კრიპტო?

უკვე დიდი ხანია, ჰაკერები იყენებდნენ ცენტრალიზებულ ბირჟებს მოპარული თანხების გასათეთრებლად, მაგრამ კიბერკრიმინალები იწყებენ მათ DeFi-ს პლატფორმებს. 2021 წელს კიბერკრიმინალები გაგზავნილი ყველა უკანონო კრიპტოვალუტის დაახლოებით 17% DeFi ქსელებში, რაც მნიშვნელოვანი ნახტომია 2 წლის 2020%-დან.

ბაზრის ექსპერტები ვარაუდობენ, რომ DeFi პროტოკოლებზე გადასვლა განპირობებულია უფრო მკაცრი „იცოდე შენი კლიენტის“ (KYC) და ფულის გათეთრების საწინააღმდეგო (AML) პროცესების უფრო ფართო განხორციელებით. პროცედურები კომპრომეტირებს ანონიმურობას, რომელსაც ეძებენ კიბერკრიმინალები. DeFi პლატფორმების უმეტესობა უარს ამბობს ამ გადამწყვეტ პროცესებზე.

ხელისუფლებასთან თანამშრომლობა

ცენტრალიზებული ბირჟები ასევე, ახლა უფრო მეტად, ვიდრე ოდესმე, მუშაობენ ხელისუფლებასთან კიბერდანაშაულის წინააღმდეგ საბრძოლველად. აპრილში, Binance ბირჟამ ითამაშა ინსტრუმენტული როლი მოპარული კრიპტოვალუტების 5.8 მილიონი დოლარის აღდგენა ეს იყო Axie Infinity-დან მოპარული 625 მილიონი დოლარის ნაწილი. ფული თავდაპირველად გაიგზავნა Tornado Cash-ში.

Tornado Cash არის სიმბოლური ანონიმიზაციის სერვისი, რომელიც აფერხებს სახსრების წარმოშობას ჯაჭვზე არსებული ბმულების ფრაგმენტირებით, რომლებიც გამოიყენება ტრანზაქციის მისამართების გასარკვევად.

თუმცა, მოპარული სახსრების ნაწილს ბლოკჩეინის ანალიტიკური ფირმები აკონტროლებდნენ Binance-ს. ძარცვა ბირჟაზე 86 მისამართზე იმართებოდა.

ინციდენტის შემდეგ, შეერთებული შტატების სახაზინო დეპარტამენტის სპიკერმა ხაზგასმით აღნიშნა, რომ კრიპტო ბირჟები, რომლებიც ამუშავებენ ფულს შავ სიაში მყოფი კრიპტოვალუტებისგან, რისკავს სანქციებს.

Tornado Cash-იც, როგორც ჩანს, თანამშრომლობს ხელისუფლებასთან, რათა შეაჩეროს მოპარული თანხების მის ქსელში გადაცემა. კომპანიამ განაცხადა, რომ განახორციელებს მონიტორინგის ინსტრუმენტს, რომელიც დაეხმარება ემბარგოს დაწესებული საფულეების იდენტიფიცირებასა და დაბლოკვას.

როგორც ჩანს, არის გარკვეული პროგრესი ხელისუფლების მიერ მოპოვებული აქტივების ჩამორთმევა. ამ წლის დასაწყისში აშშ-ს იუსტიციის დეპარტამენტმა გამოაცხადა 3.6 მილიარდი დოლარის კრიპტოვალუტის ამოღება და დააკავა ორი ადამიანი, რომლებიც თანხების გათეთრებაში მონაწილეობდნენ. ფული 4.5 წელს Bitfinex კრიპტო ბირჟიდან 2016 მილიარდი დოლარის ნაწილი იყო.

კრიპტო დაყადაღება ერთ-ერთი ყველაზე დიდი იყო ოდესმე დაფიქსირებული.

DeFi-ს აღმასრულებელი დირექტორიები საუბრობენ არსებულ ვითარებაზე

ამ კვირის დასაწყისში ექსკლუზიურად Cointelegraph-თან საუბრისას, ერიკ ჩენმა, Injective Labs-ის აღმასრულებელმა დირექტორმა და თანადამფუძნებელმა - თავსებადი ჭკვიანი კონტრაქტების პლატფორმა, რომელიც ოპტიმიზებულია დეცენტრალიზებული ფინანსური აპლიკაციებისთვის - თქვა, რომ არსებობს იმედი, რომ პრობლემები შემცირდება.

”ჩვენ ვხედავთ, რომ ტალღა აგრძელებს კლებას, რადგან უფრო ძლიერი უსაფრთხოების სტანდარტებია დანერგილი. სათანადო ტესტირებისა და უსაფრთხოების შემდგომი ინფრასტრუქტურის დანერგვით, DeFi-ის პროექტები მომავალში შეძლებენ თავიდან აიცილონ საერთო ექსპლუატაციის რისკები“, - თქვა მან.

იმ ზომების შესახებ, რომელსაც მისი ქსელი იღებდა ჰაკერული თავდასხმების თავიდან ასაცილებლად, ჩენმა წარმოადგინა მონახაზი:

„Injective უზრუნველყოფს უფრო მჭიდროდ განსაზღვრულ აპლიკაციებზე ორიენტირებულ უსაფრთხოების მოდელს ტრადიციულ Ethereum ვირტუალურ მანქანაზე დაფუძნებულ DeFi აპლიკაციებთან შედარებით. ბლოკჩეინის დიზაინი და ძირითადი მოდულების ლოგიკა იცავს Injective-ს ჩვეულებრივი ექსპლოიტისგან, როგორიცაა ხელახალი შესვლა, მაქსიმალური ამოღებული ღირებულება და ფლეშ სესხები. Injective-ზე აგებულ აპლიკაციებს შეუძლიათ ისარგებლონ უსაფრთხოების ზომებით, რომლებიც დანერგილია ბლოკჩეინში კონსენსუსის დონეზე.”

Ბოლო: მზარდი გლობალური მიღების პოზიციები კრიპტო შესანიშნავად გამოიყენება საცალო ვაჭრობაში

Cointelegraph-ს ასევე ჰქონდა შესაძლებლობა ესაუბრა კონსტანტინე ბოიკო-რომანოვსკის, აღმასრულებელ დირექტორს და Allnodes-ის - არასაპატიმრო ჰოსტინგისა და სტეკინგის პლატფორმის - დამფუძნებელს - ჰაკების შემთხვევების გაზრდის შესახებ. რაც შეეხება ტენდენციის მთავარ კატალიზატორებს, მან თქვა:

”ეჭვგარეშეა, რომ გარკვეული დრო დასჭირდება DeFi ჰაკერების რისკის შესამცირებლად. თუმცა, ნაკლებად სავარაუდოა, რომ ეს მოხდება ღამით. DeFi-ში რბოლის მუდმივი განცდაა. როგორც ჩანს, ყველას ეჩქარება, მათ შორის პროექტის დამფუძნებლებიც. ბაზარი უფრო სწრაფად ვითარდება, ვიდრე პროგრამისტების კოდის დაწერის სიჩქარე. კარგი მოთამაშეები, რომლებიც ყოველგვარ სიფრთხილეს იღებენ, უმცირესობაში არიან.

მან ასევე წარმოადგინა გარკვეული ინფორმაცია პროცედურების შესახებ, რომლებიც დაეხმარება პრობლემის წინააღმდეგ ბრძოლას:

„კოდექსი უნდა გაუმჯობესდეს და ჭკვიანური კონტრაქტები საფუძვლიანად შემოწმდეს, ეს უდავოა. გარდა ამისა, მომხმარებლებს მუდმივად უნდა შეახსენონ ფრთხილი ეტიკეტი ონლაინში. ნებისმიერი ხარვეზის იდენტიფიცირება შეიძლება მიმზიდველი იყოს. ამან, თავის მხრივ, შესაძლოა ხელი შეუწყოს უფრო ჯანსაღ ქცევას კონკრეტულ პროტოკოლში.”

DeFi ინდუსტრიას უჭირს ჰაკერული შეტევების აღკვეთა. თუმცა, არსებობს იმედი, რომ ხელისუფლების მხრიდან მონიტორინგის გაზრდა და ბირჟებს შორის უფრო დიდი თანამშრომლობა ხელს შეუწყობს უბედურების შეკავებას.