مع استمرار قطاع DeFi في جذب الأموال والمستخدمين ، يستمر الفاعلون السيئون من جميع أنحاء العالم في اعتباره هدفًا جذابًا وجاهزًا للاختيار وسوء الحماية.
على مدار الأشهر العديدة الماضية ، كنت أتابع بعض أبرز مآثر بروتوكولات DeFi ، ويبدو أن سبعة منها على الأقل كانت نتيجة عيوب العقد الذكي وحدها.
على سبيل المثال ، قام المتسللون بضرب وسرقة Wormhole ، وسرقة أكثر من 300 مليون دولار ، و Qubit Finance (80 مليون دولار) ، و Meter (4.4 مليون دولار) ، و Deus (3 ملايين دولار) ، و TreasureDAO (أكثر من 100 NFTs) ، وأخيرًا ، Agave and Hundred Finance ، معًا ، خسر 11 مليون دولار في المجموع. أدت كل هذه الهجمات إلى سرقة مبالغ كبيرة إلى حد ما ، مما تسبب في أضرار جسيمة للمشاريع.
شهدت العديد من البروتوكولات المستهدفة انخفاضًا في قيمة عملتها المشفرة ، وعدم ثقة المستخدمين ، وانتقادات بشأن أمان DeFi والعقود الذكية ، وعواقب سلبية مماثلة.
ما أنواع الثغرات التي حدثت أثناء الهجمات؟
وبطبيعة الحال ، تعتبر كل حالة من هذه الحالات فريدة من نوعها ، وقد تم استخدام أنواع مختلفة من برمجيات إكسبلويت لمعالجة كل مشروع على حدة ، اعتمادًا على نقاط الضعف والعيوب. تتضمن الأمثلة الأخطاء المنطقية وهجمات إعادة الدخول وهجمات الإقراض السريع مع التلاعب بالأسعار والمزيد. أعتقد أن هذا هو نتيجة أن بروتوكولات DeFi أصبحت أكثر تعقيدًا ، وكما هو الحال ، فإن تعقيد الكود يجعل من الصعب أكثر فأكثر إزالة جميع العيوب.
علاوة على ذلك ، لاحظت شيئين أثناء تحليل كل من هذه الحوادث. الأول هو أن المتسللين تمكنوا من الإفلات بمبالغ ضخمة في كل مرة - بقيمة ملايين الدولارات من العملات المشفرة.
يمنح "يوم الدفع" هذا المتسللين حافزًا لقضاء أي وقت ضروري في دراسة البروتوكولات ، حتى أشهر في كل مرة ، لأنهم يعرفون أن المكافأة ستكون تستحق العناء. هذا يعني أن المتسللين لديهم الدافع لقضاء وقت أطول بكثير في البحث عن العيوب مقارنة بالمراجعين.
الشيء الثاني الذي برز هو أنه ، في بعض الحالات ، كانت الاختراقات في الواقع بسيطة للغاية. خذ هجوم مائة المالية كمثال. تم إصابة المشروع باستخدام خطأ معروف يمكن العثور عليه عادةً في Compound forks إذا تمت إضافة رمز مميز إلى البروتوكول. كل ما يحتاجه المخترق هو الانتظار حتى تتم إضافة أحد هذه الرموز المميزة إلى Hundred Finance. بعد ذلك ، كل ما يتطلبه الأمر هو اتباع بعض الخطوات البسيطة لاستخدام الثغرة للوصول إلى المال.
ما الذي يمكن أن تفعله مشاريع DeFi لحماية نفسها؟
للمضي قدمًا ، فإن أفضل شيء يمكن أن تفعله هذه المشاريع لحماية نفسها من العناصر السيئة هو التركيز على عمليات التدقيق. كلما كان الأمر أكثر تعمقًا ، كان ذلك أفضل ، وتم إجراؤه بواسطة محترفين ذوي خبرة يعرفون ما يجب الانتباه إليه. ولكن ، هناك شيء آخر يمكن أن تفعله المشاريع ، حتى قبل اللجوء إلى عمليات التدقيق ، وهو التأكد من أن لديهم بنية جيدة تم إنشاؤها بواسطة مطورين مسؤولين.
هذا مهم بشكل خاص لأن معظم مشاريع blockchain مفتوحة المصدر ، مما يعني أن كودها يميل إلى النسخ وإعادة الاستخدام. إنه يسرع الأمور أثناء التطوير ، والشفرة مجانية للاستخدام.
تكمن المشكلة في أنه إذا تبين أنه معيب ، ويتم نسخه قبل أن يكتشف المطورون الأصليون الثغرات الأمنية ويصلحونها. حتى إذا أعلنوا عن الإصلاح وقاموا بتنفيذه ، فقد لا يرى أولئك الذين نسخوه الأخبار ، وتظل التعليمات البرمجية الخاصة بهم عرضة للخطر.
إلى أي مدى يمكن أن تساعد عمليات التدقيق بالفعل؟
تعمل العقود الذكية كبرامج تعمل على تقنية blockchain. على هذا النحو ، من الممكن أن تكون معيبة وأنها تحتوي على أخطاء. كما ذكرت من قبل ، كلما كان العقد أكثر تعقيدًا - زادت احتمالات حدوث خطأ أو عيبين خلال فحوصات المطورين.
لسوء الحظ ، هناك العديد من المواقف التي لا يوجد فيها حل سهل لتصحيح هذه العيوب ، ولهذا السبب يجب على المطورين أخذ وقتهم والتأكد من أن الكود يتم بشكل صحيح وأن العيوب قد تم رصدها على الفور أو على الأقل في أقرب وقت ممكن.
هذا هو المكان الذي تأتي فيه عمليات التدقيق ، لأنه إذا اختبرت الكود ووثقت التقدم المحرز في تطويره والاختبارات بشكل كافٍ ، يمكنك التخلص من غالبية المشكلات في وقت مبكر.
بالطبع ، حتى عمليات التدقيق لا يمكن أن توفر ضمانًا بنسبة 100٪ بأنه لن تكون هناك مشكلات في الكود. لا احد يستطيع. ليس من قبيل الصدفة أن يحتاج المتسللون إلى شهور لمعرفة أصغر ثغرة أمنية يمكنهم استخدامها لمصلحتهم - لا يمكنك إنشاء الكود المثالي وجعله مفيدًا ، لا سيما عندما يتعلق الأمر بالتكنولوجيا الجديدة.
تعمل عمليات التدقيق بالفعل على تقليل عدد المشكلات ، ولكن المشكلة الحقيقية هي أن العديد من المشاريع التي تصيبها المتسللون لم يكن لديها أي عمليات تدقيق على الإطلاق.
لذلك ، بالنسبة لأي مطورين ومالكي مشروعات لا يزالون في طور التطوير ، يجب أن يتذكروا أن الأمان لا يأتي من اجتياز التدقيق. ومع ذلك ، فمن المؤكد أنه يبدأ هناك. العمل على التعليمات البرمجية الخاصة بك ؛ تأكد من أنه يحتوي على بنية جيدة التصميم وأن المطورين الماهرين والمثابرين يعملون عليه.
تأكد من اختبار كل شيء وتوثيقه جيدًا ، واستخدم جميع الموارد المتاحة لك. تعتبر مكافآت الأخطاء ، على سبيل المثال ، طريقة رائعة لفحص الكود الخاص بك من قبل الأشخاص من وجهة نظر المتسللين ، ويمكن أن يكون منظور جديد من شخص يبحث عن طريقة لا يقدر بثمن في تأمين مشروعك.
ضيف آخر بواسطة Gleb Zykov من HashEx
بدأ جليب مسيرته المهنية في تطوير البرمجيات في معهد أبحاث ، حيث اكتسب خلفية تقنية وبرمجية قوية ، حيث طور أنواعًا مختلفة من الروبوتات لوزارة حالات الطوارئ الروسية.
لاحقًا ، نقل جليب خبرته التقنية إلى شركة خدمات تكنولوجيا المعلومات GTC-Soft ، حيث صمم تطبيقات Android. انتقل ليصبح المطور الرئيسي وبعد ذلك ، مدير التكنولوجيا في الشركة. في GTC ، قاد جليب تطوير العديد من خدمات مراقبة المركبات وخدمة شبيهة بأوبر لسيارات الأجرة المتميزة. في عام 2017 ، أصبح Gleb أحد مؤسسي HashEx - شركة استشارات وتدقيق دولية على مستوى blockchain. يشغل جليب منصب الرئيس التنفيذي للتكنولوجيا ، حيث يقود تطوير حلول blockchain وتدقيق العقود الذكية لعملاء الشركة.
المصدر: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/