Радикальная необходимость обновления протоколов безопасности блокчейна

Децентрализованные финансы (DeFi) не стоят на месте: общая стоимость заблокированных средств (TVL) превысила 100 миллиардов долларов, что свидетельствует о вере в эти новые финансовые инструменты. Эти инвестиции будут расти и дальше, но, похоже, что с каждым новым рекордом в TVL появляется сообщение об очередной сетевой атаке с астрономическими потерями.

В 2020 году криптопреступность снизилась на 57%, однако количество DeFi взломов резко возросло, стоив компаниям и инвесторам миллиарды долларов США. Только в марте в течение пяти дней было совершено несколько атак, в результате которых компания Paid Network потеряла 180 миллионов долларов. Позже, в мае, компания PancakeBunny потеряла более 200 миллионов долларов в результате взлома флэш-кредитов.

Очевидно, что в нынешних протоколах безопасности блокчейна слишком много лазеек и взломов. От перетягивания ковра до фишинговых афер, безопасность и технологии этого пространства не настолько зрелы, как об этом говорят цифры. Но есть критически важные методы, которые могут внедрить как разработчики, так и пользователи, чтобы устранить этот пробел.

Децентрализованная технология все еще остается централизованной

Независимо от того, насколько децентрализованным заявляет себя протокол, основная структура все равно остается централизованной. Если взглянуть на одну из основных характеристик Интернета - записи DNS, то каждое доменное имя все еще централизовано - принадлежит правительству, государству или компании, которые имеют конечную власть над доменом и могут отключить его по своему усмотрению.

Примером централизации в рамках децентрализации являются смарт-контракты. Те, кто пишет смарт-контракты Ethereum или Binance, имеют последнее слово в коде, и существуют способы введения в смарт-контракты вредоносных программ, таких как перетягивание ковра.

Во время бума урожайного фермерства летом 2020 года мы увидели множество протоколов, созданных для получения прибыли за счет денег, вливающихся в DeFi, и это продолжалось и в этом году. В марте TurtleDex осуществил "перетягивание ковра", которое фактически представляло собой "черный ход" в смарт-контракте, в результате чего у инвесторов было украдено 2,5 миллиона долларов. Эта преднамеренная функция позволяет разработчикам программировать мошеннические действия, которые затем выполняются в зависимости от других событий в коде, и TurtleDex - один из многих проектов в этом году, которые запрограммировали rug pull.

Аудит смарт-контрактов - хороший способ предотвратить перетягивание ковра, но даже в этом случае мы видим случаи, когда разработчики меняют проверенный смарт-контракт на непроверенный. Случай с Compounder демонстрирует, как легко мошенническому проекту получить влияние за счет известных, авторитетных имен в этой сфере. Они смогли быстро нажиться на Harvest Finance и Yearn.finance, прежде чем потянуть за ковер своих пользователей и уйти с миллионами долларов в криптовалюте.

Последние тенденции в области взломов

Помимо ковровых атак, существует множество популярных атак, которые могут привести к краху всей компании, если она не будет подготовлена. Атака 51% - когда группа майнеров контролирует более 50% хэшрейта сети, что позволяет им исключать или манипулировать записями транзакций для осуществления двойных трат или нарушения работы блокчейна - все еще часто встречается. Firo и Grin недавно пострадали от атак 51%.

Даже некоторые криптовалютные проекты с ведущими размерами рыночного капитала все еще не защищены. В феврале сообщалось, что 200 дней транзакций XVG в сети Verge были стерты, что фактически стало "самой глубокой реорганизацией, которая когда-либо происходила в криптовалюте из топ-100".

Мы принимаем эти ошибки как часть опыта использования блокчейна, но какова была бы реакция, если бы то же самое произошло, например, с крупным банком? Скорее всего, было бы гораздо больше заголовков в СМИ и возмущений со стороны пользователей и клиентов. В криптовалютах такие события остаются практически незамеченными, потому что пользователей меньше, но с недавним бычьим рынком ситуация меняется. Неизбежно, что безопасность публичных блокчейнов будет подвергаться более пристальному вниманию.

Методы предотвращения взломов, таких как вырывание ковров

К сожалению для разработчиков, взломы всегда возможны при работе с криптовалютами. Вопрос не в том, как предотвратить взлом, а в том, как предотвратить вероятность взлома. Некоторые усовершенствования в аппаратных кошельках - например, кошелек с мультиподписью Gnosis Safe - являются ключевыми элементами для повышения общей безопасности.

Использование мультисигового кошелька позволяет нескольким пользователям иметь ключи для одного и того же кошелька и требует взаимного участия для выполнения действий на счете. Поскольку такой кошелек требует участия нескольких пользователей для совершения сделок, практически невозможно совершать ковровые перетяжки с помощью этого типа хранилища.

Еще одна практика безопасности для предотвращения вырывания ковров - это таймеры. Во многих децентрализованных приложениях используются временные блокировки, так что если разработчик попытается перетянуть пользователей на свою сторону, у вас будет предупреждение примерно за 12-24 часа, чтобы удалить средства.

Такие методы обеспечения безопасности будут способствовать более широкому доверию к DeFi и создадут культуру безопасности, которая будет способствовать развитию нашей отрасли.

Повышение безопасности кошельков в криптовалюте

Безопасность кошелька в конечном итоге сводится к тому, что разработчики и пользователи применяют более разумные методы. Регулярные аудиты безопасности и внутренние методы обеспечения безопасности могут способствовать повышению безопасности кошельков.

Хотя аудит безопасности является хорошим решением, Uniswap и другие автоматизированные децентрализованные биржи (DEX) на основе маркет-мейкеров не имеют разрешений, поэтому регулярный аудит невозможен. Лучшая практика - понять специфику монет "честного запуска" - проектов, которые запускаются с DEX. Хотя многие из этих проектов отличаются высоким качеством, известно, что многие из них имеют серьезные уязвимости. Код с открытым исходным кодом облегчает любому человеку возможность самостоятельно провести аудит и проверить, является ли смарт-контракт безопасным, предоставляя пользователям больше инструментов для практической реализации хорошей безопасности.

Может показаться большим подвигом требовать от пользователя соблюдения правил безопасности, но это необходимо для того, чтобы получить доступ ко многим преимуществам криптовалют и, особенно, DeFi. В традиционных банках за безопасность отвечает банк, но в криптовалютах безопасность сводится к практике разработчиков и пользователей.

Если вы забыли свой банковский пароль или отправили деньги не тому человеку, вы можете обратиться в свой банк, чтобы смягчить транзакцию, пока она не будет решена. Но в криптовалюте, если вы потеряете ключи или отправите деньги не по адресу, запасного варианта не существует. Одним из многих плюсов, конечно, является то, что вам не нужно беспокоиться о том, доступны ли ваши средства в криптовалюте, в то время как банки могут закрыть свои двери и ввести контроль за движением капитала, как это произошло во время банковского кризиса в Греции в 2015 году.

Заключение

Как разработчики, мы должны внедрять перекрестную проверку и аудит безопасности, а также отчитываться друг перед другом за разработку все более совершенных методов обеспечения безопасности.

Пользователям следует рассмотреть возможность применения собственных протоколов безопасности и понять нюансы хранения и потенциальные сценарии взлома. Хорошей практикой для пассивных держателей криптовалют является наличие аппаратного кошелька, отключенного от интернета, или бумажного кошелька, который на 100% автономный и не требует синхронизации с интернетом для обновления прошивки.

Фишинговые атаки, один из первоначальных видов интернет-взломов, по-прежнему распространены и часто встречаются. Способ борьбы с фишинговыми атаками заключается в проверке подлинности отправителя.

Не вводите свои приватные ключи или начальные фразы ни на одном сайте и не отправляйте их никому в публичных каналах или DM. Как правило, вы должны вводить свою начальную фразу только при первоначальной настройке кошелька. Более того, вы должны вводить свою начальную фразу только в том случае, если вам нужно восстановить кошелек после того, как вы забыли пароль, если вам нужно импортировать существующий кошелек на новое устройство или использовать совместимое программное обеспечение кошелька. Обычно рекомендуется использовать аппаратные устройства кошелька, которые никогда не передадут вашу seed-фразу какому-либо программному обеспечению - во многих случаях не рекомендуется даже доверенное приложение или программное обеспечение кошелька.

По мере того, как мы продолжаем строить нашу новую глобальную (в основном) DeFi экономику, крайне важно повысить уровень безопасности, чтобы в это пространство продолжали поступать основные инвестиции и капитал, чтобы следующее поколение могло получить доступ к новым границам финансовой независимости.

Кадан Штадельманн - разработчик блокчейна, эксперт по безопасности операций и главный технический директор Komodo Platform. Его опыт варьируется от работы в сфере операционной безопасности в правительственном секторе и запуска технологических стартапов до разработки приложений и криптографии. Кадан начал свой путь в технологии блокчейн в 2011 году и присоединился к команде Komodo в 2016 году.