admin Günümüzde, bir bütün olarak blok zinciri pazarı emekleme aşamasındadır ve merkezi olmayan finans (DeFi) pazarı en umut verici kısmıdır. DefiLlama verilerine göre, 2021’de DeFi pazarında akıllı sözleşmelerde kilitli yaklaşık 200 milyar dolarlık likidite vardı. Bu sermayeye bir başlangıç yatırımı olarak bakarsak, bu pazar oldukça umut verici bir girişim gibi görünüyor. Çok fazla küresel şirket böyle bir büyük harfle övünemez. Ancak herhangi bir genç pazarın diş çıkarma sorunları vardır. DeFi ile asıl sorun, nitelikli blok zinciri geliştiricilerinin eksikliğidir.
Bu endüstri çok genç ve nispeten küçük bir kullanıcı tabanına sahip. Çoğu insan, ne olduğu hakkında hiçbir fikri olmadan DeFi’yi duymuştur. Ancak her yeni gelecek vaat eden girişimde olduğu gibi, hızla çok fazla spekülatif ilgi yaratır. Ne yazık ki, özellikle blockchain ve akıllı sözleşme geliştirme gibi bilgi yoğun alanlar söz konusu olduğunda, personel hazırlamak çok daha uzun sürüyor. Bu, bazı proje ekiplerinin daha az deneyimli personelden ödün vermek ve işe almak zorunda kalacağı anlamına gelir.
Bu sorun, kaçınılmaz olarak, bu projelerin kodunda artan bir güvenlik boşlukları riski yaratır. Ve sonra bunun sonuçlarıyla, kayıp kullanıcı sermayesi ile uğraşmak zorundayız. Bu sorunun ne kadar büyük olduğunu kısaca anlayabilmek için DeFi’nin kilitlenen toplam likiditesinin yaklaşık %10’unun bilgisayar korsanları tarafından çalındığını söyleyebilirim. Ana akım kamuoyunun fonları için bu kadar tehlike arz eden bir finansal sistemden uzak durmayı tercih etmesi kimseyi şaşırtmamalı.
İlişkili: DeFi protokolleri nasıl hacklenir?
DeFi istismarları son zamanlarda nasıl değişti?
DeFi’ye yönelik saldırılar, uzun süredir yeniden giriş saldırılarına odaklanıyor. Yatırımcı sermayesinde 150 milyon dolarlık kayıpla sonuçlanan ve Ethereum’un hard fork’una yol açan 2016’nın ünlü DAO hackini hatırlayabiliriz. O zamandan beri, bu güvenlik açığı farklı akıllı sözleşmelerde birçok kez istismar edildi.
Geri arama işlevi, borç verme protokolleri tarafından aktif olarak kullanılır: Akıllı sözleşmelerin, bir kredi vermeden önce kullanıcıların teminat bakiyesini kontrol etmesine olanak tanır. Tüm bu süreç, bilgisayar korsanlarına bu tür akıllı sözleşmelerden para çalmak için bir geçici çözüm sağlayan tek bir işlem içinde gerçekleşir. Borçlanma talebi gönderdiğinizde, geri arama işlevi önce teminat bakiyesini kontrol eder, ardından teminat yeterliyse krediyi verir ve ardından akıllı sözleşme içinde kullanıcının teminat bakiyesini değiştirir.
Akıllı sözleşmeyi kandırmak için bilgisayar korsanları, bu işlemi en baştan başlatmak için çağrıyı geri arama işlevine döndürür. İşlem blok zincirinde sonuçlanmadığından, fonksiyon aynı teminat bakiyesi için başka bir kredi verir. Bu sorunun çözümü yeterince uzun süredir sahnede olmasına rağmen, birçok proje hala buna kurban gidiyor.
Bazen, akıllı sözleşmeler yazma konusunda çok az beceriye sahip proje ekipleri, kendi akıllı sözleşmelerini dağıtmak için başka bir açık kaynaklı DeFi projesinin kod tabanını ödünç almaya karar verir. Normalde bunu, denetlenmiş, geniş kullanıcı tabanlarına sahip ve güvenli bir şekilde oluşturulduğu kanıtlanmış saygın projelerle yaparlar. Ancak, orijinal kodu bile değiştirmeden akıllı sözleşmelerinde sahip olmak istedikleri işlevleri eklemek için ödünç alınan kodda küçük değişiklikler yapmaya karar verebilirler. Bu, geliştiricilerin genellikle fark etmediği akıllı sözleşmenin mantığına zarar verebilir.
Bilgisayar korsanlarının Ağustos 2021’de Cream Finance’ten yaklaşık 19 milyon dolar çalmasına izin veren şey buydu. Cream Finance ekibi, kodu farklı bir DeFi protokolünden ödünç aldı ve akıllı sözleşmelerine bir geri arama belirteci ekledi. Fonların verilmesinden ziyade denge değişimine öncelik veren “kontroller, efektler, etkileşimler” modelini uygulayarak yeniden giriş saldırılarını önleyebilseniz de, bazı ekipler platformlarını bu istismarlardan koruyamıyor.
Flaş kredi saldırıları, bilgisayar korsanlarının fonları farklı şekilde çalmasına olanak tanır ve 2020’deki DeFi patlamasından bu yana giderek daha popüler hale gelmektedir. Flaş kredi saldırılarının ana fikri, bir protokolden fon ödünç almak için teminata ihtiyacınız olmamasıdır, çünkü finansal parite hala garanti altındadır. kredinin tek işlemde alınması ve iade edilmesi ile. Ve faizli krediyi tek işlemde iade etmezseniz bu gerçekleşmez. Ancak saldırganlar birçok protokolde başarılı flash kredi saldırıları gerçekleştirebildiler.
İlişkili: Gerekli: Bilgisayar korsanları ve dolandırıcılıklarla mücadele için devasa bir eğitim projesi
Bunları yaparken, bir tokenin fiyatını oracle’lar veya likidite havuzları aracılığıyla yükselttikleri ve bunu bir pompa ve dökümü dolandırmak ve bir dizi likidite ile ortadan kaldırmak için kullandıkları son eyleme kadar likiditeyi ödünç almak ve sürüklemek için çoklu protokoller kullanırlar. Ether (ETH), Wrapped Bitcoin (wBTC) ve diğerleri gibi bazı önemli farklı kripto para birimleri. Bazı ünlü flaş kredi saldırıları arasında protokolün 200 milyon dolar kaybettiği Pancake Bunny saldırısı ve 100 milyon doların üzerinde çalınan bir başka Cream Finance saldırısı yer alıyor.
DeFi istismarlarına karşı nasıl savunma yapılır?
Güvenli bir DeFi protokolü oluşturmak için ideal olarak yalnızca deneyimli blok zinciri geliştiricilerine güvenmelisiniz. Merkezi olmayan uygulamalar oluşturma becerisine sahip profesyonel bir ekip liderine sahip olmalıdırlar. Geliştirme için güvenli kod kitaplıkları kullanmayı hatırlamak da akıllıca olacaktır. Bazen daha az güncel kitaplıklar, en yeni kod tabanlarına sahip kitaplıklardan en güvenli seçenek olabilir.
Test, tüm ciddi DeFi projelerinin yapması gereken bir diğer önemli şeydir. Bir akıllı sözleşme denetim şirketinin CEO’su olarak, her zaman müşterilerimizin kodunun %100’ünü kapsamaya çalışıyorum ve kısıtlı erişime sahip akıllı sözleşmelerin işlevlerini çağırmak için kullanılan özel anahtarların merkezi olmayan korumasının önemini vurguluyorum. Bir varlığın sözleşme üzerinde tam kontrole sahip olmasını engelleyen bir çoklu imza aracılığıyla ortak anahtarın ademi merkeziyetçiliğini kullanmak en iyisidir.
Sonuç olarak eğitim, blockchain tabanlı finansal sistemlerin daha güvenli ve güvenilir hale gelmesini sağlayacak anahtarlardan biridir. Ve eğitim, DeFi’de iş arayanların temel endişelerinden biri olmalıdır, çünkü uygulanabilir bir katkıda bulunabilecek herkese ağız sulandıran ödüller sunabilir.
Bu yazı yatırım tavsiyesi veya tavsiyesi içermemektedir. Her yatırım ve ticaret hamlesi risk içerir ve okuyucular bir karar verirken kendi araştırmalarını yapmalıdır.
Burada ifade edilen görüş, düşünce ve görüşler yalnızca yazara aittir ve Cointelegraph’ın görüş ve görüşlerini yansıtmaz veya temsil etmez.
Dmitry Mishunin DeFi güvenlik ve analitik şirketi HashEx’in kurucusu ve CEO’sudur ve blockchain güvenliği alanında uzun yıllara dayanan uzmanlığa sahiptir. BT sistemleri, blok zinciri ve DeFi’deki güvenlik açıkları üzerine araştırma gibi bilimsel faaliyetlere çok zaman ayırdı. Dmitry’nin yönetimi altında HashEx, akıllı sözleşme denetimleri alanında liderlerden biri haline geldi.
