Bir Hacker Gibi Düşünmek. DeFi (merkezi olmayan finans) ekosistemi, geçen yıl akıllı sözleşmelere kilitlenen para miktarı, onu güçlendiren zincir içi programlar arttıkça dikkatleri üzerine çekti . Bu gelişme, yeni ekosistemi keşfetmek için hareket eden büyük finans kurumlarında kaybolmadı, ancak bilgisayar korsanları da dikkat çekiyordu. Bu nedenle, bu yıl DeFi ile ilgili hırsızlık, hack ve dolandırıcılığın tüm zamanların en yüksek seviyesine ulaşması ve geçen yıl bu seferki %3’e kıyasla şimdiden büyük kripto sahtekarlığının %54’ünden fazlasını oluşturması şaşırtıcı değil.
Bunu perspektife koymak için, sadece bu yıl yatırımcılara yaklaşık 1,2 milyar dolara mal olan DeFi hack’lerinin bir listesi .
- Saddle Finance: $275,000
- Yearn Finance (YFI): $11,000,000
- Growth DeFi (GRO): $1,300,000
- BT Finance (BT): $1,500,000
- Alpha Finance Lab (ALPHA) & Cream Finance (CREAM): $37,000,000
- Furucombo (COMBO): $14,000,000
- Meerkat Finance (MKAT): $31,000,000
- Paid Network (PAID): $160,000,000
- DODO (DODO): $1,910,000
- Roll: $5,700,000
- Iron Finance (IRON): $170,000
- TurtleDex (TTDX): $2,400,000
- Force DAO (FORCE): $376,000
- EasyFi (EZ): $80,000,000
- Uranium Finance: $50,000,000
- Spartan Protocol (SPARTA): $30,000,000
- Rari Capital (RGT): $15,000,000
- xToken (XTK): $24,500,000
- bEarn Fi (BFI): $11,000,000
- PancakeBunny (BUNNY): $200,000,000
- Venus Protocol (XVS): N/A
- AutoShark Finance (JAWS): $822,000
- Merlin Lab: $1,560,000
- Wild Credit (WILD): N/A
- BurgerSwap (BURGER): $7,200,000
- Belt Finance (BELT): $50,000,000
- Alchemix (ALCX): N/A
- Impossible Finance (IF): $500,000
- Eleven Finance (ELE): $4,600,000
- SafeDollar (SDO): $248,000
- ChainSwap (ASAP): $5,200,000
- Bondly Finance (BONDLY): N/A
- THORChain (RUNE): $18,039,000
- PancakeBunny (BUNNY): $2,400,000
- Levyathan (LEV): N/A
- Popsicle Finance (ICE): $25,000,000
- Punk Protocol (PUNK): $3,950,000
- Poly Network: $268,000,000
- Dao Maker: $11,000,000
- Cream Finance: $19,000,000
- Sushi: $3,100,000
- Cream Finance: $130,000,000
- bZx: $55,000,000
Finansal Kurumlar için DeFi Hack’lerinin Tehdidi
Hacking, yatırım getirisi ile ilgilidir. Yeni teknolojiler söz konusu olduğunda, bilgisayar korsanlarının milyarları çalmak için milyonlarca yatırım yapacak kadar motive olacağını varsaymak güvenlidir. Ve kripto evrenin en temel teknolojisi olan blok zinciri, DeFi ile son derece güvenli olarak kabul edilirken, dikkate alınması gereken ek bir katman var – birden fazla blok zincirinde çalışan ve birbiriyle etkileşime giren binlerce çeşitli hizmetten oluşan bir katman. Bu kulağa karmaşık ve dinamik geliyor, ancak aynı zamanda bu hizmetlerin tümü eşit derecede güvenli olmadığından ve bazı etkileşimleri de istismar olarak çalışabileceğinden, bilgili bilgisayar korsanları için yeni saldırı vektörleri açıyor.
Bankacılık hizmetleri olarak kripto sunan ilk ABD yetkili bankası olan Vast Bank, UBS, CitiBank, BNY Mellon, JP Morgan Chase gibi bankalar ve Mastercard, Visa ve Paypal gibi diğer büyük finans kurumlarının tümü benimsiyor. Bu tür büyük oyuncuların birincil endişesi, iş hızına ayak uydururken varlıkları nasıl güvende tutacaklarıdır – ve bu zorluk hafife alınmamalıdır.
Bilgisayar korsanları içeri girme yollarını nasıl buluyor? Öncelikle özel anahtar yönetimi protokollerinde bulunan güvenlik açıkları ve akıllı sözleşme kodundaki güvenlik açıkları aracılığıyla.
Özel anahtar yönetimi
Dijital varlıklarınızı yönetmek için özel bir anahtara ihtiyacınız vardır. Varlıkları güvenli bir şekilde tutma ve aktarma yeteneği, yalnızca özel anahtar güvenli olduğu sürece garanti edilir. Bu anahtar ele geçirildiğinde, fonlar kolayca hacker’ın kendi cüzdanına aktarılabilir. Bu nedenle, özel anahtarların çalınmasını önlemek, dijital varlık güvenliğini sağlamak için çok önemlidir.
Çok taraflı hesaplama (MPC) çözümü, özel anahtarın güvenliğini sağlamak için en iyi yöntemlerden biridir. Özel anahtarın parçalarını (parçalarını) hepsini internete bağlı tek bir bilgisayarda tutmak yerine birden çok bilgisayara dağıtmak için tasarlanmıştır.
Birçok kuruluş, dijital varlıkları korumak ve yönetmek için yalnızca bir MPC’ye güvenir. Bununla birlikte, bir MPC, sıcak bir cüzdandan daha güvenli olsa da, onlarca veya yüz milyonlarca dolarlık kriptoyu yöneten bankalar veya finans kurumları için tek başına yeterli değildir.
Bilgisayar korsanlığı, yatırımın geri dönüşü ile ilgili olduğundan, bir bilgisayar korsanı hesabın on milyonlarca doları olduğunu biliyorsa, hesabı boşaltmak için birkaç milyon yatırım yapmaya hazırdır. MPC, bilgisayar korsanlarının internete bağlı tek bir bilgisayardan ödün vermek yerine birden fazla hedefin peşinden gitmesini sağlayarak saldırının fiyat etiketini artırır, ancak bu artan giriş engeli, yüksek düzeyde bir çalıştırmayı karşılayabilen daha teşvikli grupları caydırmakta başarısız olabilir. Potansiyel getiriler hala ilk yatırımlarını geride bıraktığı için karmaşık arsa.
Daha iyi bir yaklaşım, dijital varlık bakiyenizi bölmek ve var lıkların yalnızca %2 veya %3’ünü yönetmek için MPC’yi kullanmak, geri kalanı ise kasa hiçbir zaman bağlı olmadığı için %100 güvenli olduğu soğuk bir kasada tutmaktır.
Yine de DeFi ile, ekosistemi güçlendiren akıllı sözleşmelerle her etkileşim bir işlem başlatmakla başladığından işler daha da zorlaşıyor. Bu, varlıkları A hesabından B hesabına taşımak gibi normal anlamda bir işlem olmak zorunda değildir. Programlama açısından, bu daha çok bir işlev çağrısına benzer: DeFi ile belirli bir komut dosyası veya akıllı sözleşme işlevi başlatmak, ve gerekirse, ona gerekli bir girdi vererek. İşlem, bir bilgisayar korsanının onu ele geçirmesi için bir fırsat penceresi açan kurumun özel anahtarı tarafından imzalanmalıdır. Sistemlerinin en yüksek güvenlik standartlarına göre oluşturulduğundan emin olmak için, kurumların yalnızca, sürecin herhangi bir noktasında kasalarını çevrimiçi duruma getirmeden işlemleri imzalamalarına izin verecek çözümlere güvenmeleri gerekir.
Diğer taraftan, DeFi hizmetleri, özel anahtar yönetimini doğru bir şekilde aldığından emin olmalıdır, çünkü DeFi, adından da anlaşılacağı gibi neredeyse merkezsiz değildir. Burada da sistemde bir darboğaz var: Akıllı sözleşme sahibi (yazılım parçasını blok zincirine yükleyen kişi) “süper güçlere“, projeye bağlı olarak dondurma, fiyatı güncelleme, para basmayı içerebilen özel kontrole sahiptir. Akıllı sözleşme sahibinin özel anahtarından ödün vererek, protokolün tüm ekonomisi hemen yok edilebilir. Tek bir DeFi kullanıcısını hacklemekten daha kötüdür – bu, tüm DeFi kullanıcılarını aynı anda hacklemek anlamına gelir!
Akıllı Sözleşmeler
Bir DeFi hizmetini hacklemenin diğer ana yolu, kodunda, sözleşme tarafından belirli işlevlerin çağrıldığı sıraya veya bellek kullanımını nasıl ele aldığına kadar özetlenebilecek bir kusur kullanmaktır. Bu tür güvenlik açıkları genellikle akıllı sözleşmelerin birbirleriyle etkileşime girme biçimlerini ortadan kaldırır ve her şeyden önce daha sağlam akıllı sözleşme denetimi için çağrıda bulunur.
Bu tür saldırıların gelecekte bilgisayar korsanları için daha karmaşık hale gelmesinin beklenmesinin bir nedeni, DeFi ekosisteminin şu anda hala başlangıç aşamasında olması ve bu nedenle henüz zaman içinde test edilmiş bir güvenlik geliştirmemesidir. kural seti. Olgunlaştıkça, geliştiriciler blok zinciri araştırmacılarının yardımıyla birbirlerinden en iyi uygulamaları öğrenecek ve yıkıcı saldırılara olanak tanıyan hataları ayıklayacaktır. Ancak şimdilik, DeFi ekosistemine bağlanırken dikkat ve dikkatli akıllı sözleşme denetimi yapılması gereken yol.
Paket Servisler
DeFi ekosisteminin geleneksel finans kurumlarına sunacağı çok şey var, ne kadar önemli olursa olsun, korsanların keşif tehdidinden caydırılamayacak kadar çok. Neyse ki, sadece iki temel güvenlik kuralına bağlı kalarak, DeFi’ye dokunan bankalar ve finans kurumları risklerini büyük ölçüde azaltabilir.
İlk kural, finans kurumlarının kendi özel anahtarlarını, varlıkların çoğunluğunu bilgisayar korsanlarının erişimi dışında, soğuk depoda, daha küçük miktarları ise bir MPC’de tutulacak şekilde en güvenli şekilde yönetmesidir.
İkinci kural, hem akıllı sözleşmelerdeki kusurlar hem de bir numaralı güvenlik kuralına uymak için bankaların entegre etmek istediği hizmetleri incelemek ve denetlemek.
Bir Hacker Gibi Düşünmek içeriği Kripto RADAR tarafından oluşturulmuştur.
