في الوقت الحاضر ، لا يزال سوق blockchain ككل في مهده ، و التمويل اللامركزي (DeFi) السوق هو الجزء الأكثر واعدة. وفقًا لبيانات DefiLlama ، في عام 2021 ، كان لدى سوق DeFi حوالي 200 مليار دولار من السيولة مقفلة في عقود ذكية. إذا نظرنا إلى رأس المال هذا على أنه استثمار أولي ، فإن هذا السوق يبدو وكأنه مشروع واعد للغاية. لا يمكن للعديد من الشركات العالمية التباهي بهذه القيمة الرأسمالية. لكن أي سوق شاب يعاني من مشاكل في النمو. مع DeFi ، تكمن المشكلة الرئيسية في نقص مطوري blockchain المؤهلين.
هذه الصناعة صغيرة جدًا ولديها قاعدة مستخدمين صغيرة نسبيًا. لقد سمع معظم الناس في أحسن الأحوال عن DeFi دون أن يكون لديهم أي فكرة عما هو عليه. ولكن كما يحدث مع كل مشروع واعد جديد ، فإنه سرعان ما يخلق الكثير من اهتمام المضاربة. لسوء الحظ ، يستغرق إعداد الموظفين وقتًا أطول ، خاصةً عندما يتعلق الأمر بمجالات كثيفة المعرفة مثل blockchain وتطوير العقود الذكية. هذا يعني أنه سيتعين على بعض فرق المشروع تقديم تنازلات وتوظيف موظفين أقل خبرة.
هذه مشكلة لا محالة يخلق خطرًا متزايدًا لحدوث ثغرات أمنية في كود هذه المشاريع. ومن ثم علينا أن نتعامل مع عواقبها في خسارة رأس مال المستخدم. لمجرد فهم موجز لمدى حجم هذه المشكلة ، يمكنني القول أن حوالي 10٪ من إجمالي السيولة المحجوبة لدى DeFi قد تمت سرقتها من قبل المتسللين. لا ينبغي أن يفاجئ أي شخص بأن عامة الناس يفضلون الابتعاد عن النظام المالي الذي يشكل مثل هذه المخاطر على أموالهم.
هذا الموضوع ذو علاقة بـ: كيف يتم اختراق بروتوكولات DeFi؟
كيف تغيرت مآثر DeFi مؤخرًا؟
لقد تركزت الهجمات على DeFi منذ فترة طويلة حول هجمات إعادة الدخول. يمكننا أن نتذكر الشهيرة اختراق DAO في عام 2016 والذي أدى إلى خسارة 150 مليون دولار من رأس مال المستثمرين وأدى إلى الانقسام الكلي للإيثريوم. ومنذ ذلك الحين، تم استغلال هذه الثغرة الأمنية عدة مرات في عقود ذكية مختلفة.
يتم استخدام وظيفة رد الاتصال بشكل فعال من خلال بروتوكولات الإقراض: فهي تسمح للعقود الذكية بالتحقق من رصيد الضمان الخاص بالمستخدمين قبل منح القرض. تحدث كل هذه العملية ضمن معاملة واحدة ، مما أعطى المتسللين حلاً بديلاً لسرقة الأموال من مثل هذه العقود الذكية. عندما ترسل طلبًا لاقتراض الأموال ، تقوم وظيفة رد الاتصال أولاً بفحص رصيد الضمان ، ثم تقوم بإعطاء القرض إذا كانت الضمانات كافية ثم تقوم بتغيير رصيد ضمان المستخدم داخل العقد الذكي.
لخداع العقد الذكي ، أعاد المتسللون الاتصال إلى وظيفة رد الاتصال لبدء هذه العملية من البداية. نظرًا لأن المعاملة لم يتم الانتهاء منها على blockchain ، فإن الوظيفة تمنح قرضًا آخر لنفس رصيد الضمان. على الرغم من أن حل هذه المشكلة ظل على الساحة لفترة طويلة بما فيه الكفاية ، إلا أن العديد من المشاريع لا تزال ضحية لها.
في بعض الأحيان ، تقرر فرق المشروع التي لديها القليل من المهارة في كتابة العقود الذكية استعارة قاعدة بيانات مشروع DeFi مفتوح المصدر آخر لنشر العقد الذكي الخاص بهم. يفعلون ذلك عادةً مع المشاريع ذات السمعة الطيبة التي تم تدقيقها ولديها قواعد مستخدمين كبيرة وثبت أنها مبنية بشكل آمن. لكنهم قد يقررون إجراء تعديلات طفيفة على الكود المستعير لإضافة الوظائف التي يريدون الحصول عليها في عقدهم الذكي ، دون تغيير الكود الأصلي. هذا يمكن أن يضر بمنطق العقد الذكي ، والذي لا يدركه المطورون في كثير من الأحيان.
هذا هو ما سمح للقراصنة بسرقة حوالي 19 مليون دولار من Cream Finance في أغسطس 2021. استعار فريق Cream Finance الرمز من بروتوكول DeFi مختلف وأضاف رمز رد الاتصال في عقدهم الذكي. على الرغم من أنه يمكنك منع هجمات العودة من خلال تنفيذ نمط "الشيكات والتأثيرات والتفاعلات" الذي يعطي الأولوية لتغيير التوازن على إصدار الأموال ، إلا أن بعض الفرق لا تزال تفشل في حماية منصاتها من هذه الثغرات.
تسمح هجمات القروض السريعة للمتسللين بسرقة الأموال بشكل مختلف وقد تزايدت شعبيتها منذ طفرة DeFi في عام 2020. الفكرة الرئيسية لهجمات القروض السريعة هي أنك لست بحاجة إلى ضمانات لاقتراض الأموال من البروتوكول لأن التكافؤ المالي لا يزال مضمونًا من خلال حقيقة أن القرض مأخوذ وإعادته ضمن معاملة واحدة. ولن يتم ذلك إذا فشلت في إعادة القرض بفائدة في معاملة واحدة. لكن المهاجمين تمكنوا من تنفيذ هجمات قروض سريعة ناجحة على العديد من البروتوكولات.
هذا الموضوع ذو علاقة بـ: مطلوب: مشروع تعليمي ضخم لمحاربة الاختراق والخداع
عند القيام بذلك ، يستخدمون بروتوكولات متعددة للاقتراض وسحب السيولة حتى الإجراء الأخير حيث يقومون بتضخيم سعر الرمز المميز من خلال أوراكل أو تجمعات السيولة واستخدامه لخداع المضخة والإغراق والتخلص من السيولة في مصفوفة لبعض العملات المشفرة الرئيسية المختلفة مثل الأثير (ETH) و Bitcoin الملفوفة (wBTC) وغيرها. تتضمن بعض هجمات القروض السريعة الشهيرة هجوم فطيرة الأرنب، حيث خسر البروتوكول 200 مليون دولار ، و هجوم كريم آخر، والتي سرق فيها أكثر من 100 مليون دولار.
كيفية الدفاع ضد مآثر DeFi؟
لبناء بروتوكول DeFi آمن ، من الناحية المثالية ، يجب أن تثق فقط في مطوري blockchain ذوي الخبرة. يجب أن يكون لديهم فريق محترف يتمتع بمهارة في بناء التطبيقات اللامركزية. من الحكمة أيضًا أن تتذكر استخدام مكتبات الشفرات الآمنة من أجل التطوير. في بعض الأحيان ، يمكن أن تكون المكتبات الأقل حداثة هي الخيار الأكثر أمانًا من تلك التي تحتوي على أحدث قواعد التعليمات البرمجية.
الاختبار شيء مهم آخر يجب أن تفعل جميع مشاريع DeFi الجادة. بصفتي رئيسًا تنفيذيًا لشركة تدقيق العقود الذكية ، أحاول دائمًا تغطية 100٪ من التعليمات البرمجية لعملائنا والتأكيد على أهمية الحماية اللامركزية للمفاتيح الخاصة المستخدمة لاستدعاء وظائف العقود الذكية ذات الوصول المقيد. من الأفضل استخدام لامركزية المفتاح العمومي من خلال توقيعات متعددة تمنع كيانًا واحدًا من السيطرة الكاملة على العقد.
في النهاية ، يعد التعليم أحد المفاتيح التي ستسمح للأنظمة المالية القائمة على blockchain بأن تصبح أكثر أمانًا وموثوقية. يجب أن يكون التعليم أحد الاهتمامات الرئيسية لمن يبحثون عن عمل في DeFi لأنه يمكن أن يقدم مكافآت شهية لكل من يمكنه تقديم مساهمة مجدية.
لا تحتوي هذه المقالة على نصائح أو توصيات استثمارية. تنطوي كل حركة استثمار وتداول على مخاطر ، ويجب على القراء إجراء أبحاثهم الخاصة عند اتخاذ القرار. الآراء والأفكار والآراء المعبر عنها هنا هي وحدها للمؤلف ولا تعكس بالضرورة أو تمثل وجهات نظر وآراء Cointelegraph. ديمتري ميشونين هو المؤسس والرئيس التنفيذي لشركة DeFi للأمن والتحليلات HashEx ولديه خبرة طويلة في مجال أمان blockchain. لقد كرس الكثير من الوقت للأنشطة العلمية ، مثل البحث في أنظمة تكنولوجيا المعلومات ، و blockchain ، ونقاط الضعف في DeFi. تحت إدارة ديمتري ، أصبحت HashEx واحدة من الشركات الرائدة في مجال تدقيق العقود الذكية. المصدر: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi