Radykalna potrzeba aktualizacji protokołów bezpieczeństwa blockchain

The radical need for updating blockchain security protocols

Zdecentralizowane finanse (DeFi) pozostają z ponad 100 miliardami dolarów w łącznej wartości zablokowanej (TVL), podkreślając dowody wiary w te nowe narzędzia finansowe. Ta inwestycja będzie nadal rosła, ale wydaje się, że z każdym nowym rekordem w TVL następuje kolejny atak sieciowy z astronomicznymi stratami.

Przestępczość kryptowalutowa spadła o 57% w 2020 r., ale liczba ataków hakerskich DeFi wzrosła, co kosztowało firmy i inwestorów miliardy dolarów. Tylko w marcu doszło do kilku ataków w ciągu zaledwie pięciu dni, a sieć płatna straciła 180 milionów dolarów. Później, w maju, PancakeBunny stracił ponad 200 milionów dolarów w wyniku wykorzystania pożyczki błyskawicznej.

Nasze najlepsze roboty biznesowe

Oczywiste jest, że w obecnych protokołach bezpieczeństwa blockchain jest zbyt wiele luk i hacków. Od wyciągania dywanów po oszustwa phishingowe, bezpieczeństwo i technologia tej przestrzeni nie są tak dojrzałe, jak wskazują na to liczby. Istnieją jednak krytyczne praktyki, które mogą wdrożyć zarówno programiści, jak i użytkownicy, aby zamknąć tę lukę.

Zdecentralizowana technologia jest nadal scentralizowana

Bez względu na to, jak zdecentralizowany jest protokół, podstawowa struktura jest nadal scentralizowana. Patrząc na jedną z naszych podstawowych funkcji Internetu, rekordy DNS, każda nazwa domeny jest nadal scentralizowana — należy do rządu, stanu lub firmy, która ma najwyższą władzę nad domeną i może ją wyłączyć, jeśli zechcą.

Przykładem centralizacji w ramach decentralizacji są inteligentne kontrakty. Ci, którzy piszą inteligentne kontrakty na Ethereum lub Binance, mają ostatnie słowo w tym, co jest w kodzie, i istnieją sposoby na zakodowanie nikczemnych programów, takich jak wyciąganie dywanów, w inteligentne kontrakty.

Podczas boomu w rolnictwie latem 2020 r. widzieliśmy wiele protokołów, aby czerpać zyski z pieniędzy napływających do DeFi i trwało to w tym roku. W marcu TurtleDex wykonał akcję wyciągania dywanów, która w rzeczywistości była backdoorem w inteligentnym kontrakcie, w wyniku którego inwestorom skradziono 2,5 miliona dolarów. Ta celowa funkcja pozwala programistom na programowanie oszustw, które są następnie wykonywane w zależności od innych zdarzeń w kodzie, a TurtleDex jest jednym z wielu tegorocznych projektów, które zaprogramowały ciągnięcie dywanu.

Związane z:Rolnictwo plonów to moda, ale DeFi obiecuje zmienić sposób, w jaki wchodzimy w interakcję z pieniędzmi

Audyty inteligentnych kontraktów to dobry sposób na zapobieganie szarpaniu, ale nawet wtedy widzimy przypadki, w których programiści zamieniają skontrolowaną inteligentną umowę na nieaudytowaną. Przypadek Compounder pokazuje, jak łatwo projekt oszustwa zyskuje wpływ na znane, renomowane nazwiska w przestrzeni. Byli w stanie szybko skorzystać z Harvest Finance i Yearn.finance, zanim rzucili się na swoich użytkowników i odeszli z milionami dolarów w krypto.

Związane z:Audyt domyślny projektów DeFi jest konieczny dla rozwoju branży

Najnowsze trendy w hackach

Oprócz ciągnięcia dywanów istnieje wiele popularnych ataków, które mogą doprowadzić do upadku całej firmy, jeśli nie są przygotowane. Atak 51% — kiedy grupa górników kontroluje ponad 50% szybkości hashowania sieci, pozwalając im na wykluczenie lub manipulowanie rekordami transakcji w celu wykonania podwójnych wydatków lub zakłócenia łańcucha bloków — jest nadal częsty. Firo i Grin ostatnio ucierpieli z powodu 51% ataków.

Nawet niektóre projekty kryptowalut z wiodącymi wielkościami kapitalizacji rynkowej nadal nie są bezpieczne. W lutym poinformowano, że 200 dni transakcji XVG w sieci Verge zostało usuniętych, co w rzeczywistości jest „najgłębszym reorgiem, jaki kiedykolwiek miał miejsce w 100 najlepszych kryptowalutach”.

Akceptujemy te błędy jako część doświadczenia blockchain, ale jaka byłaby reakcja, gdyby to samo stało się, na przykład, z dużym bankiem? Prawdopodobnie byłoby znacznie więcej nagłówków w mediach i oburzenia ze strony użytkowników i klientów. Wydarzenia te pozostają w dużej mierze niezauważone w kryptowalutach, ponieważ jest mniej użytkowników, ale wraz z niedawną hossą, to się zmienia. Nieuchronnie większa kontrola zostanie poświęcona bezpieczeństwu publicznych łańcuchów bloków.

Praktyki zapobiegające włamaniom, takim jak ciągnięcie dywanu

Niestety dla programistów, hacki są zawsze możliwe podczas pracy w krypto. Pytanie nie brzmi, jak zapobiegać włamaniom, ale jak zapobiegać włamaniom. Niektóre postępy w portfelach sprzętowych — jak na przykład portfel multisignature Gnosis Safe — są kluczowymi elementami poprawy ogólnego bezpieczeństwa.

Korzystanie z portfela multisig umożliwia wielu użytkownikom przechowywanie kluczy do tego samego portfela i wymaga wzajemnego uczestnictwa w wykonywaniu działań na koncie. Ponieważ taki portfel wymaga danych wejściowych od wielu użytkowników w celu dokonywania transakcji, prawie niemożliwe jest wykonywanie wyciągnięć dywanu za pomocą tego typu skarbca.

Inną praktyką bezpieczeństwa, która zapobiega wyciąganiu dywanów, są blokady czasowe. Wiele zdecentralizowanych aplikacji używa blokad czasowych, więc jeśli programista spróbuje wyrwać swoich użytkowników, otrzymasz ostrzeżenie na około 12 do 24 godzin, aby usunąć fundusze.

Tego rodzaju praktyki w zakresie bezpieczeństwa wzmocnią większe zaufanie do DeFi i stworzą kulturę wokół bezpieczeństwa, która przyczyni się do rozwoju naszej branży.

Poprawa bezpieczeństwa portfela w krypto

Bezpieczeństwo portfela ostatecznie sprowadza się do programistów i użytkowników wdrażających mądrzejsze praktyki. Regularne audyty bezpieczeństwa i wewnętrzne praktyki bezpieczeństwa mogą przyczynić się do zwiększenia bezpieczeństwa portfeli.

Chociaż audyty bezpieczeństwa są dobrym rozwiązaniem, Uniswap i inne zautomatyzowane zdecentralizowane giełdy oparte na animatorach rynku (DEX) są pozbawione uprawnień, dlatego nie można przeprowadzać regularnych audytów. Najlepszą praktyką jest zrozumienie specyfiki monet „uczciwego startu” — projektów uruchamianych z DEX-a. Chociaż wiele z tych projektów jest wysokiej jakości, wiele z nich zawiera poważne luki. Kod open source ułatwia każdemu samodzielny audyt i weryfikację, czy inteligentna umowa jest bezpieczna, dając użytkownikom więcej narzędzi do praktykowania dobrego bezpieczeństwa.

Poproszenie użytkownika o praktykowanie dobrego bezpieczeństwa może wydawać się dużym wyczynem, ale jest to wymagane, aby uzyskać dostęp do wielu korzyści płynących z kryptowalut, a zwłaszcza DeFi. W przypadku tradycyjnych banków za bezpieczeństwo odpowiada bank, ale w krypto bezpieczeństwo sprowadza się do praktyk deweloperów i użytkowników.

Jeśli zapomnisz hasła do banku lub wyślesz środki do niewłaściwej osoby, możesz skontaktować się z bankiem, aby złagodzić transakcję do czasu jej rozwiązania. Ale w krypto, jeśli zgubisz klucze lub wyślesz pieniądze na zły adres, nie ma opcji kopii zapasowej. Jedną z wielu zalet jest oczywiście to, że nie musisz się martwić, czy twoje fundusze są dostępne w kryptowalutach, podczas gdy banki mogą zamykać swoje drzwi i narzucać kontrolę kapitału, tak jak miało to miejsce podczas kryzysu bankowego w Grecji w 2015 roku.

Wniosek

Jako programiści musimy wdrażać walidacje krzyżowe i audyty bezpieczeństwa, a także rozliczać się nawzajem z opracowywania coraz lepszych praktyk bezpieczeństwa.

Użytkownicy powinni rozważyć wdrożenie własnych protokołów bezpieczeństwa i zrozumieć niuanse związane z przechowywaniem i potencjalnymi scenariuszami włamań. Dobrą praktyką dla pasywnych posiadaczy kryptowalut jest odłączenie portfela sprzętowego od Internetu lub portfela papierowego, który jest w 100% offline i nie wymaga synchronizacji online w celu aktualizacji oprogramowania układowego.

Ataki phishingowe, jeden z pierwotnych rodzajów włamań do Internetu, są nadal powszechne i częste. Sposobem na zwalczanie prób phishingu jest weryfikacja autentyczności nadawcy.

Nie wprowadzaj swoich kluczy prywatnych ani fraz początkowych na żadnej stronie internetowej ani nie wysyłaj ich do nikogo za pośrednictwem kanałów publicznych lub wiadomości DM. Ogólnie rzecz biorąc, frazę początkową należy wprowadzać tylko podczas początkowej konfiguracji portfela. Co więcej, powinieneś wpisać swoją frazę początkową tylko wtedy, gdy chcesz odzyskać portfel po zapomnieniu hasła, musisz zaimportować istniejący portfel na nowe urządzenie lub użyć kompatybilnego oprogramowania portfela. Ogólnie zaleca się korzystanie z urządzeń portfela sprzętowego, które nigdy nie przepuszczają twojego seeda do żadnego rodzaju oprogramowania — w wielu przypadkach nawet zaufana aplikacja portfela lub oprogramowanie nie może być zalecane.

Ponieważ nadal budujemy naszą nową globalną (głównie) gospodarkę DeFi, ważne jest, aby poprawić bezpieczeństwo, aby adopcja głównego nurtu i kapitał mogły nadal płynąć w przestrzeń, aby następne pokolenie mogło uzyskać dostęp do nowych granic niezależności finansowej.

Ten artykuł nie zawiera porad inwestycyjnych ani rekomendacji. Każdy ruch inwestycyjny i handlowy wiąże się z ryzykiem, a czytelnicy powinni przeprowadzić własne badania podczas podejmowania decyzji.

Poglądy, przemyślenia i opinie wyrażone tutaj są wyłączną własnością autora i niekoniecznie odzwierciedlają lub reprezentują poglądy i opinie Cointelegraph.

Kadan Stadelmann jest programistą blockchain, ekspertem ds. bezpieczeństwa operacyjnego i dyrektorem ds. technologii platformy Komodo. Jego doświadczenie obejmuje pracę w bezpieczeństwie operacji w sektorze rządowym i uruchamianie startupów technologicznych po tworzenie aplikacji i kryptografię. Kadan rozpoczął swoją przygodę z technologią blockchain w 2011 roku i dołączył do zespołu Komodo w 2016 roku.
Czytaj dalej w odniesieniu do Cointelegraph
Nie, Jack Dorsey nie trolluje ETH, czyniąc jego logo flagą etiopską
Crypto Twitter zjednoczył się dzisiaj w rozbawieniu, gdy hashtag #eth zaczął automatycznie pokazywać flagę etiopską jako „logo” Ethereum.Biorąc pod uwagę...
CoinMarketCap uruchamia swapy tokenów Ethereum obsługiwane przez Uniswap
CoinMarketCap (CMC) uruchomił funkcję wymiany tokenów na swojej stronie internetowej poprzez integrację ze zdecentralizowaną giełdą Uniswap.CMC jest jednym...
Cardano wspina się o 14% podczas byczego handlu
Investing.com -Cardano do 04:17 (8:17 GMT) notowano na indeksie Investing.com po cenie 1,282176 USD w środę, co oznacza wzrost o 14,41% w ciągu dnia. Był...
Należąca do Binance indyjska giełda WazirX zbadała domniemane błędy AML
Znana indyjska giełda kryptograficzna WazirX, którą Binance nabyła w 2019 roku, jest przedmiotem dochodzenia w sprawie rzekomych naruszeń indyjskiej ustawy...
Urzędnicy amerykańscy odzyskują 2,3 mln USD w kryptowalutach z okupu Colonial Pipeline
Urzędnicy z grupy zadaniowej rządu Stanów Zjednoczonych przechwycili ponad 2 miliony dolarów w kryptowalutach używanych do płacenia okupu po ataku na system...
CoinShares wymienia fizycznie wspierane kryptowaluty ETP na niemieckiej giełdzie
Europejski zarządzający aktywami cyfrowymi CoinShares rozszerza zasięg swojego fizycznie wspieranego portfela produktów giełdowych (ETP) o nową ofertę w...
Finansowanie przekracza 2 miliony dolarów dla tej organizacji charytatywnej DAO
Możliwości wykorzystania kryptowalut wzrosły na przestrzeni lat, ponieważ aktywa cyfrowe stały się bardziej znane. Jedna z operacji, zwana Endaoment, ma...
Sotheby's przenosi 10 milionów dolarów CryptoPunk na aukcję indywidualną
Jeden niezwykle rzadki CryptoPunk jest ustawiony na dodatkowy czas na gorąco oczekiwanej nadchodzącej aukcji.W dzisiejszym tweecie luksusowy dom aukcyjny...
Gubernator Banku Anglii wydaje ostrzeżenie dotyczące inwestycji w kryptowaluty
Andrew Bailey, gubernator Bank of England, ostrzegł inwestorów kryptowalutowych przed niebezpieczeństwami związanymi z uczestnictwem w rynku.Przemawiając...
Ethereum wspina się o 13% podczas byczego handlu
Investing.com -Ethereum do godziny 20:23 (00:23 GMT) według indeksu Investing.com osiągnął w środę poziom 2,357,00 $, co oznacza wzrost o 13,11% w ciągu...
Dyrektor generalny największej giełdy kryptowalut ma „prawie 100%” wartości netto w kryptowalutach
Changpeng Zhao, założyciel i dyrektor generalny największej globalnej giełdy kryptowalut Binance i jeden z największych miliarderów kryptowalut na świecie,...
Aleph wprowadza DApp do „tworzenia kopii zapasowych” dzieł sztuki NFT
Aleph.im, zdecentralizowana platforma do udostępniania plików, uruchomiła zdecentralizowaną aplikację (DApp), która umożliwia użytkownikom automatyczne...
„Bitcoin to Fork, Bitcoin Cash to Autentyczny Blockchain” - naukowcy rządu USA
Kura czy jajko? Wydaje się, że to pytanie jest bardziej niż istotne w sferze kryptowalut. Jednak słowa „kurczak” i „jajko” lepiej zastąpić słowami „Bitcoin”...
Deweloperzy Zcash wykorzystali odpady z Czarnobyla w tajnym eksperymencie
Zcash to jedna z alternatywnych monet, która trafia na listę 100 najlepszych kryptowalut według Lista mailingowa. Zgodnie z nią, twórcy trzymali go na...
Zuckerberg rozważa przyszłą integrację technologii Cryptos na Facebooku
Jeden z najbogatszych i najbardziej wpływowych ludzi na świecie, współzałożyciel Facebooka i jego CEO Mark Zuckerberg, wykazał chęć zważenia na kryptowalutę,...