Heutzutage steckt der Blockchain-Markt insgesamt noch in den Kinderschuhen dezentrale Finanzierung (DeFi) Markt ist der vielversprechendste Teil. Laut DefiLlama-Daten verfügte der DeFi-Markt im Jahr 2021 über rund 200 Milliarden US-Dollar an Liquidität, die in Smart Contracts gebunden war. Wenn wir dieses Kapital als Erstinvestition betrachten, sieht dieser Markt nach einem vielversprechenden Unterfangen aus. Nicht viele globale Unternehmen können sich einer solchen Kapitalisierung rühmen. Aber jeder junge Markt hat seine Kinderkrankheiten. Bei DeFi ist das Hauptproblem ein Mangel an qualifizierten Blockchain-Entwicklern.
Diese Branche ist sehr jung und hat eine relativ kleine Nutzerbasis. Die meisten Menschen haben bestenfalls von DeFi gehört, ohne eine Vorstellung davon zu haben, was es ist. Aber wie bei jedem neuen vielversprechenden Unternehmen entsteht schnell viel spekulatives Interesse. Leider dauert die Vorbereitung des Personals viel länger, insbesondere in so wissensintensiven Bereichen wie Blockchain- und Smart-Contract-Entwicklung. Dies bedeutet, dass einige Projektteams Kompromisse eingehen und weniger erfahrenes Personal einstellen müssen.
Dieses Problem zwangsläufig schafft ein wachsendes Risiko von Sicherheitslücken im Code dieser Projekte. Und dann müssen wir uns mit den Folgen in Form von verlorenem Benutzerkapital auseinandersetzen. Um nur kurz zu verstehen, wie groß dieses Problem ist, kann ich sagen, dass etwa 10 % der gesamten gesperrten Liquidität von DeFi von Hackern gestohlen wurden. Es sollte niemanden überraschen, dass die Mainstream-Öffentlichkeit es vorzieht, sich von einem Finanzsystem fernzuhalten, das solche Gefahren für ihre Gelder darstellt.
Related: Wie werden DeFi-Protokolle gehackt?
Wie haben sich DeFi-Exploits in letzter Zeit verändert?
Angriffe auf DeFi konzentrieren sich seit langem auf Wiedereintrittsangriffe. Wir können uns an die berühmten erinnern Der DAO-Hack von 2016, der zum Verlust von 150 Millionen Dollar an Investorenkapital führte und zur Hard Fork von Ethereum führte. Seitdem wurde diese Schwachstelle viele Male in verschiedenen Smart Contracts ausgenutzt.
Die Callback-Funktion wird von Kreditprotokollen aktiv genutzt: Sie ermöglicht es Smart Contracts, den Sicherheitensaldo der Benutzer zu überprüfen, bevor sie einen Kredit vergeben. All dieser Prozess findet innerhalb einer Transaktion statt, was Hackern eine Problemumgehung gegeben hat, um Geld aus solchen intelligenten Verträgen zu stehlen. Wenn Sie eine Anforderung zum Ausleihen von Geldern senden, prüft die Rückruffunktion zuerst den Sicherheitensaldo, gibt dann den Kredit aus, wenn die Sicherheiten ausreichend waren, und ändert dann den Sicherheitensaldo des Benutzers innerhalb des Smart Contracts.
Um den Smart Contract zu täuschen, geben Hacker den Aufruf an die Callback-Funktion zurück, um diesen Prozess von Anfang an zu initiieren. Da die Transaktion auf der Blockchain noch nicht abgeschlossen ist, vergibt die Funktion ein weiteres Darlehen für denselben Sicherheitensaldo. Auch wenn die Lösung dieses Problems schon lange genug existiert, fallen ihr immer noch viele Projekte zum Opfer.
Manchmal entscheiden sich Projektteams mit wenig Erfahrung im Schreiben von Smart Contracts dafür, die Codebasis eines anderen Open-Source-DeFi-Projekts auszuleihen, um ihren eigenen Smart Contract bereitzustellen. Sie tun dies normalerweise mit seriösen Projekten, die geprüft wurden und eine große Benutzerbasis haben und sich als sicher aufgebaut erwiesen haben. Sie können sich jedoch entscheiden, geringfügige Änderungen am geliehenen Code vorzunehmen, um Funktionen hinzuzufügen, die sie in ihrem Smart Contract haben möchten, ohne auch nur den ursprünglichen Code zu ändern. Dies kann die Logik des Smart Contract beschädigen, was Entwickler oft nicht erkennen.
Das ist was ermöglichte es Hackern, rund 19 Millionen Dollar zu stehlen von Cream Finance im August 2021. Das Team von Cream Finance entlehnte den Code aus einem anderen DeFi-Protokoll und fügte seinem Smart Contract ein Callback-Token hinzu. Obwohl Sie Reentrancy-Angriffe verhindern können, indem Sie das Muster „Prüfungen, Effekte, Interaktionen“ implementieren, das der Änderung des Gleichgewichts Vorrang vor der Ausgabe von Geldern einräumt, scheitern einige Teams immer noch daran, ihre Plattformen vor diesen Exploits zu schützen.
Flash-Darlehensangriffe ermöglichen es Hackern, Gelder auf andere Weise zu stehlen und werden seit dem DeFi-Boom von 2020 immer beliebter. Die Hauptidee von Flash-Darlehensangriffen ist, dass Sie keine Sicherheiten benötigen, um Gelder aus einem Protokoll zu leihen, da die finanzielle Parität immer noch garantiert ist , dass das Darlehen innerhalb einer Transaktion aufgenommen und zurückgegeben wird. Und es findet nicht statt, wenn Sie das Darlehen mit Zinsen in einer Transaktion nicht zurückgeben. Angreifer konnten jedoch erfolgreiche Flash-Loan-Angriffe auf viele Protokolle durchführen.
Related: Benötigt: Ein massives Bildungsprojekt zur Bekämpfung von Hacks und Betrug
Dabei verwenden sie mehrere Protokolle, um Liquidität zu leihen und durchzuziehen, bis zum letzten Akt, wo sie den Preis eines Tokens durch Orakel oder Liquiditätspools verstärken und damit einen Pump-and-Dump betrügen und mit Liquidität in einem Array verschwinden einiger wichtiger verschiedener Kryptowährungen wie Ether (ETH), Wrapped Bitcoin (wBTC) und andere. Einige berühmte Angriffe auf Flash-Darlehen sind die Pancake-Bunny-Angriff, wo das Protokoll 200 Millionen Dollar verlor, und ein weiterer Cream Finance-Angriff, bei dem über 100 Millionen Dollar gestohlen wurden.
Wie kann man sich gegen DeFi-Exploits verteidigen?
Um ein sicheres DeFi-Protokoll aufzubauen, sollten Sie idealerweise nur erfahrenen Blockchain-Entwicklern vertrauen. Sie sollten über einen professionellen Teamleiter verfügen, der in der Lage ist, dezentrale Anwendungen zu erstellen. Es ist auch ratsam, daran zu denken, sichere Codebibliotheken für die Entwicklung zu verwenden. Manchmal können die weniger aktuellen Bibliotheken die sicherste Option sein als diejenigen mit den neuesten Codebasen.
Testen ist noch etwas Entscheidendes alle ernsthaften DeFi-Projekte tun müssen. Als CEO einer Prüfgesellschaft für Smart Contracts versuche ich immer, 100 % des Codes unserer Kunden abzudecken und betone die Bedeutung des dezentralen Schutzes der privaten Schlüssel, die zum Aufrufen von Funktionen von Smart Contracts mit eingeschränktem Zugriff verwendet werden. Es ist am besten, die Dezentralisierung des öffentlichen Schlüssels durch eine Multisignatur zu verwenden, die verhindert, dass eine Entität die volle Kontrolle über den Vertrag hat.
Letztendlich ist Bildung einer der Schlüssel, der es Blockchain-basierten Finanzsystemen ermöglicht, sicherer und zuverlässiger zu werden. Und Bildung sollte eines der Hauptanliegen derjenigen sein, die eine Anstellung in DeFi suchen, da sie allen, die einen tragfähigen Beitrag leisten können, köstliche Belohnungen bieten kann.
Dieser Artikel enthält keine Anlageempfehlungen oder -empfehlungen. Jeder Investitions- und Handelsschritt ist mit Risiken verbunden, und die Leser sollten bei ihrer Entscheidung ihre eigenen Untersuchungen durchführen. Die hier geäußerten Ansichten, Gedanken und Meinungen sind die alleinigen Ansichten und Meinungen des Autors und spiegeln nicht notwendigerweise die Ansichten und Meinungen von Cointelegraph wider. Dmitri Mischunin ist Gründer und CEO des DeFi-Sicherheits- und Analyseunternehmens HashEx und verfügt über langjährige Expertise im Bereich Blockchain-Sicherheit. Er hat viel Zeit wissenschaftlichen Aktivitäten gewidmet, wie der Erforschung von IT-Systemen, Blockchain und Schwachstellen in DeFi. Unter der Leitung von Dmitry hat sich HashEx zu einem der führenden Unternehmen im Bereich Smart Contract Audits entwickelt. Quelle: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi