بخش مالی غیر متمرکز با سرعت سرسام آوری در حال رشد است. سه سال پیش، ارزش کل قفل شده در برنامه های مالی غیرمتمرکز یا همان DeFi فقط 800 میلیون دلار بود. تا فوریه 2021، این رقم به 40 میلیارد دلار افزایش یافت. در آوریل 2021، به نقطه عطف 80 میلیارد دلار رسید. و در حال حاضر بالای 140 میلیارد دلار است. چنین رشد سریع در بازار جدید نمی تواند توجه همه نوع هکرها و کلاهبرداران را به خود جلب کند.
بر اساس گزارش شرکت تحقیقاتی رمزنگاری، از سال 2019، بخش DeFi حدود 284.9 میلیون دلار به دلیل هک و دیگر حملات سوء استفاده از دست داده است. هک اکوسیستم های بلاکچین وسیله ای ایده آل برای کسب ثروت از نظر هکرها است. از آنجا که چنین سیستم هایی ناشناس هستند، پول زیادی برای از دست دادن دارند و هرگونه هک را می توان بدون اطلاع قربانی آزمایش و تنظیم کرد. در چهار ماه اول سال 2021، مبلغ خسارت مبتنی بر هک در دیفای 240 میلیون دلار بوده است. و اینها فقط موارد شناخته شده عمومی هستند. ما تخمین می زنیم که زیان واقعی میلیاردها دلار باشد.
چگونه پول از پروتکل های DeFi سرقت می شود؟ ما چندین حمله هکرها را تجزیه و تحلیل کرده ایم و رایج ترین مشکلاتی که منجر به حملات هکرها می شود را شناسایی کرده ایم.
سوء استفاده از پروتکل های شخص ثالث و خطاهای منطق تجاری
هر حمله ای در درجه اول با تجزیه و تحلیل قربانی آغاز می شود. فناوری بلاکچین فرصت های زیادی را برای تنظیم خودکار و شبیه سازی سناریوهای هک فراهم می کند. برای اینکه حمله سریع و نامرئی باشد، مهاجم باید مهارت های برنامه نویسی و دانش لازم در مورد نحوه عملکرد قراردادهای هوشمند را داشته باشد. مجموعه ابزار معمولی هکرها به آنها امکان می دهد نسخه کامل بلاکچین خود را از نسخه اصلی شبکه بارگیری کرده و سپس روند حمله را به طور کامل تنظیم کنند، گویی معامله در یک شبکه واقعی انجام می شود.
در مرحله بعد، مهاجم باید مدل کسب و کار پروژه و خدمات خارجی مورد استفاده را مطالعه کند. اشتباهات در مدل های ریاضی منطق کسب و کار و خدمات شخص ثالث دو موردی هستند که بیشتر مورد استفاده هکرها قرار می گیرند.
توسعه دهندگان قراردادهای هوشمند اغلب به داده های مربوط در زمان معامله بیشتر از آنچه ممکن است در هر لحظه داشته باشند نیاز دارند. بنابراین آنها مجبور به استفاده از خدمات خارجی – به عنوان مثال، اوراکل ها می شوند. این خدمات به گونه ای طراحی نشده اند که در محیطی بی اعتماد عمل کنند، بنابراین استفاده از آنها خطرات اضافی را در بر دارد. بر اساس آمارهای مربوط به یک سال تقویمی (از تابستان سال 2020)، تنها 10 هک منجر به ضررهای معادل با 50 میلیون دلار شده است.
اشتباهات برنامه نویسی
قراردادهای هوشمند یک مفهوم نسبتاً جدید در دنیای فناوری اطلاعات است. علیرغم سادگی، زبانهای برنامه نویسی برای قراردادهای هوشمند به الگوی توسعه کاملاً متفاوتی نیاز دارند. توسعه دهندگان اغلب به سادگی مهارت های برنامه نویسی لازم را ندارند و اشتباهات فاحشی را انجام می دهند که منجر به ضررهای زیادی برای کاربران می شود.
ممیزی های امنیتی تنها بخشی از این نوع ریسک را حذف می کند، زیرا اکثر شرکتهای حسابرسی موجود در بازار هیچ مسئولیتی در قبال کیفیت کارهایی که انجام می دهند ندارند و فقط به جنبه مالی علاقه دارند. بیش از 100 پروژه به دلیل خطاهای برنامه نویسی هک شدند که منجر به حجم کل ضررها در حدود 500 میلیون دلار شد. یک مثال واضح هک dForce است که در 19 آوریل 2020 رخ داد. هکرها از یک آسیب پذیری در استاندارد توکن ERC-777 در ارتباط با حمله مجدد استفاده کردند و 25 میلیون دلار از دست دادند.
وام های فلش، دستکاری قیمت و حملات ماینرها
اطلاعات ارائه شده به قرارداد هوشمند فقط در زمان انجام معامله مربوط است. به طور پیش فرض، قرارداد از دستکاری خارجی احتمالی اطلاعات موجود در داخل مصون نیست. این امر طیف وسیعی از حملات را ممکن می سازد.
وام های فوری وام هایی بدون وثیقه هستند، اما مستلزم بازگرداندن رمزنگاری قرض گرفته شده در همان معامله هستند. اگر وام گیرنده نتواند وجوه خود را پس دهد، معامله لغو می شود (برگشت داده می شود). چنین وام هایی به وام گیرنده اجازه می دهد مقدار زیادی ارز رمزنگاری شده دریافت کرده و از آنها برای اهداف خود استفاده کند. به طور معمول، حملات فوری وام شامل دستکاری قیمت است. مهاجم می تواند ابتدا تعداد زیادی توکن وام گرفته شده را در یک معامله بفروشد و در نتیجه قیمت آنها را کاهش دهد، و سپس قبل از خرید مجدد آنها، دامنه ای از اقدامات را با ارزش بسیار پایین توکن انجام دهد.
حمله ماینر آنالوگ حمله سریع وام به بلاکچین است که بر اساس الگوریتم اجماع اثبات کار، کار می کند. این نوع حملات پیچیده تر و گران تر است، اما می تواند برخی از لایه های حفاظتی وام های سریع را دور بزند.
نحوه عملکرد این چنین است: مهاجم ظرفیت های استخراج را اجاره می کند و یک بلوک شامل تنها معاملات مورد نیاز خود را تشکیل می دهد. در بلوک داده شده، آنها می توانند ابتدا توکن ها را وام بگیرند، قیمت ها را دستکاری کنند و سپس توکن های وام گرفته شده را بازگردانند. از آنجا که مهاجم معاملاتی را که به طور مستقل وارد بلوک می شوند و همچنین ترتیب آنها را تشکیل می دهد، حمله در واقع اتمی است (هیچ معامله دیگری نمی تواند در حمله “گیر کند” ، مانند وام های سریع. این نوع حملات برای هک بیش از 100 پروژه مورد استفاده قرار گرفته است که مجموع ضرر آنها در حدود 1 میلیارد دلار است.
به طور متوسط تعداد هک ها در طول زمان افزایش یافته است. در ابتدای سال 2020، یک سرقت صدها هزار دلار به حساب می آمد. تا پایان سال، مبلغ آن به ده ها میلیون دلار افزایش یافته بود.
عدم صلاحیت توسعه دهنده
خطرناک ترین نوع هک شامل خطای انسانی است. مردم در جستجوی پول سریع به DeFi متوسل می شوند. بسیاری از توسعه دهندگان از صلاحیت پایینی برخوردارند اما همچنان سعی می کنند پروژه ها را با عجله راه اندازی کنند. قراردادهای هوشمند منبع باز هستند و بنابراین به راحتی توسط هکرها کپی و تغییر می یابند. اگر پروژه اصلی شامل سه نوع اول آسیب پذیری باشد، آنها به صدها پروژه شبیه سازی شده سرایت می کنند. RFI SafeMoon یک مثال خوب است، زیرا دارای یک آسیب پذیری مهم است که در بیش از صد پروژه روی هم قرار گرفته است و منجر به زیان بالقوه بالغ بر 2 میلیارد دلار می شود.
بزرگترین هک تاریخ دیفای؛ 600 میلیون دلار به سرقت رفت
به تازگی بزرگترین هک تاریخ دیفای به رقم 600 میلیون دلار اتفاق افتاد. سرقت 600 میلیون دلاری هکرها از سرمایه های کاربران پالی نتورک (Poly Network) در 3 زنجیره، به عنوان بزرگترین حمله در حوزه امور مالی غیرمتمرکز (DeFi) شناخته شده است. به گفته شرکت چینی اسلومیست (SlowMist) این عملیات با برنامه ریزی طولانی مدت، ساماندهی و آمادگی خوبی انجام شد.
پالی نتورک در توییتر اعلام کرد که هکرها در زنجیره ها پالیگان (85میلیون دلار)، اتریوم (273میلیون دلار) و بایننس چین (253میلیون دلار) سرقت را انجام دادند. البته ارزهای دیجیتال renBTC، WBTC و WETH هم در میان ارزهای سرقتی نیز وجود داشت. این حمله هنگام فراخواندن قرارداد ها برای حمله به شبکه رخ داد که ناشی از استفاده آسیب پذیری ها در این هنگام هست.
اسلومیست هم اعلام کرد که تحلیل گران این شرکت آدرس مهاجم، آدرس آی پی و اطلاعات اثر انگشت او را به دست آورده اند. اما نکته جالب ماجرا، پیامی است که هکر بر تراکنش خود قرار داده است . از طرفی شواهد نشان می دهد احتمالا هکر برخی از سرمایه ها را بر می گرداند چرا که امکان جابجایی آن ها را ندارد و گویا هدف اصل هکر پولشویی از طریق تورنادو است. هکر در پیغام خود گفته:
که اگر شت کوین ها را هم منتقل کنم یک هک یک میلیارد دلاری داشتیم. من پروژه پالی نتورک را با این کار نجات دادم. من به پول علاقه ای نداشته و بخشی از آن ها را برگردانده یا درصورت برنگردان رها می کنم.
پالی نتورک سال پیش بهعنوان یک پروژه مشترک با آنتولوژی (Ontology)، نئو و سوییچو (Switcho) کار خود را شروع کرد که هدف آن ایجاد یک پروتکل متحد با بلاکچین ها مختلف برای یک اکوسیستم بین زنجیره ای بزرگ تر بود که این امکان را به کاربر می داد تا روی بلاکچین ها مختلف، توکن هایشان را تبدیل کنند.
نظرات کاربران