Autor: BlockSec

 

introducere

Pe măsură ce dezvoltarea DeFi continuă să remodeleze peisajul financiar, securitatea a fost întotdeauna o provocare majoră cu care se confruntă ecosistemul DeFi. Problemele de securitate provoacă pierderi de active de miliarde de dolari în fiecare an.

Potrivit Chainalysis, hackurile DeFi au dus la pierderi de active de peste 1,1 miliarde de dolari în 2023. Deși acest număr este în scădere față de 2022, 2023 a văzut apariția unor noi tendințe de atac DeFi. De exemplu, unele protocoale binecunoscute care au fost de mult timp sigure, cum ar fi Curve și KyberSwap, au fost și ele atacate. În plus, au apărut atacuri sofisticate care vizează vulnerabilitățile infrastructurii, cum ar fi Flashbots Relay.

Datele din tabloul de bord pentru incidente de securitate arată că au existat peste 50 de incidente de hacking în prima jumătate a anului 2024 care au cauzat pierderi de peste 100.000 USD.

Atacurile recente ale hackerilor
(Sursa: Tabloul de bord pentru incidente de securitate)

https://app.blocksec.com/explorer/security-incidents

Securitatea este esențială pentru dezvoltarea protocolului DeFi. Unele protocoale gestionează miliarde de dolari în activele utilizatorilor, iar incidentele de securitate pot cauza pierderi semnificative utilizatorilor. În timp ce în unele cazuri fondurile furate pot fi (parțial) recuperate (cum ar fi atacul Euler), nu ne putem pune speranța în întregime în acest lucru. Fiecare incident de atac erodează încrederea utilizatorilor în DeFi.

Deși industria a propus multe măsuri pentru a îmbunătăți securitatea, există încă mult loc de îmbunătățire a securității DeFi. Pe partea pozitivă, auditarea codului a devenit un consens comunității, iar majoritatea protocoalelor vor fi auditate înainte de a intra online, ceea ce ajută la reducerea riscului de atacuri cauzate de vulnerabilitățile contractelor inteligente. Cu toate acestea, doar auditarea codului este departe de a fi suficientă pentru a rezolva toate problemele de securitate. Auditarea codului nu poate preveni atacurile cauzate de vulnerabilitățile introduse de upgrade-urile contractelor, modificările configurației și dependențele externe. Având în vedere aceste limitări, unele protocoale încep să adopte soluții mai proactive, cum ar fi sistemele de monitorizare operațională și de detectare a atacurilor.

În acest articol, vom face o privire de ansamblu asupra măsurilor de securitate care pot fi luate de protocol din etapele de pre-lansare, post-lansare și de răspuns la atac pentru a înțelege panorama de securitate DeFi. Vom arunca o privire mai atentă asupra fiecărui tip de inițiativă de securitate și a furnizorilor/produselor sale cheie, precum și a avantajelor și dezavantajelor acestora. Sper că acest articol poate ajuta comunitatea să înțeleagă mai bine starea actuală a securității DeFi și să inspire soluții inovatoare de securitate.

Panorama de securitate DeFi

Măsurile de securitate ale protocolului DeFi ar trebui să parcurgă întregul ciclu de viață al protocolului, de la înainte de lansare până la lansare, asigurând securitatea protocolului în sine și în timpul funcționării acestuia. De asemenea, este esențial să existe măsuri preventive și planuri de răspuns înainte de eventualele atacuri. Pentru a ajuta cititorii să înțeleagă clar ce soluții de securitate DeFi sunt disponibile în prezent, am împărțit furnizorii (produse) relevanți în următoarele categorii.

 Securitate înainte de lansare 

Măsurile de securitate care pot fi luate înainte ca protocolul să intre online includ audituri de cod, verificare formală și testare de securitate.

Servicii de audit de cod și competiții

Auditul codului este o practică recunoscută de comunitate pentru asigurarea securității protocolului. În timpul acestui proces, compania de securitate va efectua o revizuire semi-automată a codului înghețat, adică va scana automat vulnerabilitățile comune din cod, iar apoi va analiza manual vulnerabilitățile complexe reprezentative ale companiilor de audit includ OpenZeppelin, ChainSecurity, BlockSec etc.

În plus, există o platformă de concurs de audit. Spre deosebire de companiile de audit care furnizează direct servicii de audit, aceste platforme publică public cerințele de audit, atrag cercetători de securitate din comunitate pentru a participa la concursuri de audit și aloca recompense concurenților care descoperă vulnerabilități de protocol. Platformele de auditare a competiției includ Code4rena, SHERLOCK, Cantina, Secure3 etc. Fiecare platformă are unele diferențe în ceea ce privește nivelurile de severitate a vulnerabilității, recompensele alocate și criteriile de participare.

Auditul codului este prima linie de apărare pentru securitatea protocolului. Cu toate acestea, are și unele limitări, motiv pentru care multe protocoale auditate de companii de renume nu sunt încă ferite de hackeri.

  • În primul rând, auditarea codului static nu poate rezolva problemele de securitate cauzate de dependențele de protocol, ceea ce este exacerbat de compozibilitatea protocoalelor DeFi.

  • În al doilea rând, în timpul procesului de audit al codului, unele probleme nu au primit suficientă atenție. De exemplu, pierderea acurateții este o problemă comună care poate trece neobservată de auditori și părțile contractuale. Abia după incidentele Hundred Finance și Channels Finance, comunitatea și-a dat seama pe deplin de implicațiile de securitate ale pierderii preciziei.

  • În cele din urmă, auditarea codului de înaltă calitate rămâne o resursă limitată, necesitând talent interdisciplinar cu cunoștințe de securitate, finanțe și informatică pe care puține universități le oferă în prezent pe o bază susținută și la scară. Prin urmare, deși unele acorduri sunt auditate, profesionalismul auditorilor care prestează servicii de audit este insuficient.

Verificare formala

„Verificarea formală utilizează metode matematice pentru a dovedi corectitudinea sau incorectitudinea unui sistem pe baza unor specificații sau proprietăți formale.” Verificarea formală poate asigura că comportamentul unui protocol DeFi este conform cu specificația formală. De exemplu, Prover, dezvoltat de Certora, poate efectua verificarea formală a protocoalelor DeFi. Dezvoltatorii furnizează reguli (specificații), iar Prover va explora fiecare stare posibilă a programului, va compara rezultatele cu regulile și va identifica vulnerabilitățile.

Cel mai mare avantaj al verificării formale este capacitatea sa de a dovedi matematic corectitudinea protocoalelor DeFi care gestionează miliarde de active. Cu toate acestea, mai multe limitări ale aplicațiilor practice împiedică adoptarea sa pe scară largă.

  • În primul rând, specificația trebuie să fie furnizată de dezvoltatori, ceea ce impune dezvoltatorilor să aibă o documentație detaliată cu privire la comportamentul așteptat al protocolului, iar majoritatea dezvoltatorilor nu sunt experți în acest domeniu.

  • În al doilea rând, actualizările frecvente ale protocoalelor pot necesita actualizarea specificațiilor și reevaluarea protocoalelor, iar unele protocoale ar putea să nu poată dedica atât de mult timp și energie.

În ciuda acestor limitări, credem în continuare că protocoalele ar trebui să fie supuse verificării oficiale, în special protocoalele noi care nu sunt încă testate în timp și gestionează cantități mari de active ale utilizatorilor. Cu toate acestea, modul de a îmbunătăți operabilitatea verificării formale și de a crește rata de adoptare a acesteia rămâne o provocare uriașă astăzi.

Testare de securitate

Testarea de securitate utilizează cazuri de testare pentru a descoperi probleme potențiale în protocol. În comparație cu verificarea formală care dovedește corectitudinea protocolului prin metode matematice, testarea de securitate utilizează în general date de intrare specifice (mai degrabă decât intrarea simbolică în verificarea formală), deci este mai eficientă, dar puțin mai puțin cuprinzătoare.

Foundry este un cadru popular de dezvoltare și testare a contractelor inteligente. Dezvoltatorii pot efectua teste în Foundry și pot efectua, de asemenea, teste diferențiale, testare invarianță și testare diferențială pe protocoalele DeFi. Alte instrumente de testare a securității includ Tenderly și Hardhat.

 Securitate post-lansare 

Măsuri de securitate care pot fi luate după ce protocolul este online, inclusiv recompensă pentru erori, detectarea atacurilor și monitorizarea operațională.

Bug Bounty

Bug Bounty face legătura între protocoale și cercetătorii de securitate. Protocolul publică un program de recompense pe platforma Bug Bounty, care detaliază domeniul de aplicare a recompensei și valoarea recompensei. Immunefi este o platformă reprezentativă Web3 Bug Bounty.

Detectarea atacurilor

Platforma de detectare a atacurilor identifică tranzacțiile rău intenționate prin scanarea tranzacțiilor. Mai exact, aceste platforme scanează fiecare tranzacție care interacționează cu protocolul pentru comportament rău intenționat, iar sistemul declanșează o alertă atunci când este identificată o tranzacție rău intenționată.

De exemplu, BlockSec Phalcon scanează fiecare pool de memorie și tranzacție în lanț pentru a identifica comportamente rău intenționate (cum ar fi contracte rău intenționate și propuneri rău intenționate) prin analizarea caracteristicilor comportamentale ale tranzacțiilor. Este ca un agent de securitate, care monitorizează fiecare detaliu al fiecărei tranzacții fără somn pentru a căuta tendințe neobișnuite. Extrage modele comportamentale din aceste tranzacții și folosește modele financiare (asemănătoare cu cele folosite de bănci pentru a detecta frauda) pentru a identifica potențialele atacuri. Sistemele similare includ produse de la Hypernative și Hexagate. În plus, Rețeaua de securitate Venn de la Ironblocks oferă o infrastructură descentralizată capabilă de a agrega rezultatele de detectare din mai multe surse.

Monitorizare operațională

După cum sugerează și numele, cadrul de monitorizare operațională monitorizează securitatea operațională a protocolului după ce acesta este disponibil. De exemplu, poate monitoriza modificările cheii de administrator, implementarea contractului inteligent și actualizările în timp real și poate detecta automat vulnerabilitățile de securitate în cererile de extragere. Platforma OpenZeppelin Defender poate ajuta dezvoltatorii să scrie, să implementeze și să ruleze contracte inteligente în siguranță. BlockSec Phalcon poate monitoriza upgrade-urile contractelor, tranzacțiile cu portofel sigur (cum ar fi inițiate, nou semnate, executate), controlul accesului și riscurile legate de guvernare. În plus, prin intermediul sistemului de monitorizare în timp real Forta Network, utilizatorii pot crea protocoale de monitorizare a botului sau se pot abona la roboții existenți pentru a primi alerte privind amenințările de securitate precum phishingul.

 Răspuns la atac 

Măsuri de securitate care sunt declanșate automat sau luate de urgență după producerea unui atac, inclusiv blocarea atacului, răspunsul automat, War Room, analiza cauzei atacului și urmărirea fluxului de fonduri pentru atacatori.

Printre aceste cinci măsuri de răspuns, blocarea atacurilor este deosebit de remarcabilă, deoarece echipa de proiect poate implementa în avans pentru a bloca atacurile înainte ca acestea să apară și pentru a reduce pierderile la zero. Platforma de răspuns automat ajută, de asemenea, la reducerea pierderilor cauzate de atacuri.

Înființarea unei Camere de Război, efectuarea analizei cauzelor atacului și urmărirea fluxului de fonduri sunt contramăsuri luate după un atac Deși pot ajuta la reducerea pierderilor și la prevenirea atacurilor similare în viitor, ele pot fi cauzat pierderi grele care sunt dificil de recuperat. În plus, deteriorarea reputației proiectului și pierderea încrederii utilizatorilor pot avea consecințe negative de anvergură. Riscurile par să fie peste tot și dificil de prevenit, dar părțile din proiect nu trebuie să răspundă pasiv. Pot implementa măsuri preventive în avans, ceea ce este, de asemenea, o abordare mai recomandată.

blocarea atacului

Detectarea atacurilor este un canal important pentru a afla despre atacurile hackerilor, dar dacă doriți să luptați împotriva atacurilor hackerilor, detectarea singură este departe de a fi suficientă. Deoarece fără capabilități de blocare automată a atacurilor, este adesea prea târziu pentru a lua măsuri de răspuns manual. Luați ca exemple atacurile KyberSwap, Gamma Strategies și Telcoin. Aceste protocoale au luat măsuri de răspuns la câteva minute sau chiar la ore după atac, în această perioadă, hackerii au lansat mai multe tranzacții de atac și au furat cantități uriașe de active. Atacurile Velocore și Rho din iulie au făcut ca întregul lanț Linea și Scroll să suspende operațiunile, atrăgând atenția utilizatorilor asupra problemei centralizării lanțului L2.

Blocarea atacurilor poate preveni automat atacurile hackerilor, care se bazează pe două tehnologii de bază: detectarea timpurie și preempțiunea automată. Detectarea timpurie înseamnă că tranzacțiile de atac pot fi identificate înainte ca tranzacția să fie încărcată în lanț și în timp ce aceasta este încă în stadiul de pool de memorie. Preluarea automată este de a trimite o tranzacție de front pentru a suspenda protocolul înainte ca tranzacția de atac să fie încărcată în lanț, împiedicând astfel executarea tranzacției de atac. Această metodă blochează atacul înainte ca acesta să aibă loc efectiv, evitând astfel pierderile.

În această categorie, BlockSec Phalcon este singurul produs cu aceste tehnologii de bază. După ce un hacker inițiază o tranzacție de atac, motorul de monitorizare a atacurilor Phalcon poate detecta tranzacția în avans, poate transmite o alertă de atac către utilizator și poate preempționa și suspenda automat protocolul, reducând pierderea la 0. Capacitățile de blocare a atacurilor ale produsului au fost dovedite în mai mult de douăzeci de salvări de pălărie albă în trecut, economisind mai mult de 20 de milioane de dolari în active.

răspuns automat

Pe lângă platformele de blocare a atacurilor, platformele precum Phalcon, Hexagate, Hypernative etc. pot răspunde automat atunci când are loc un atac.

După abonamentul la o astfel de platformă, utilizatorii pot seta măsuri de monitorizare și răspuns pentru diferite riscuri de protocol. Dacă o tranzacție atinge regulile de monitorizare, sistemul va iniția automat măsuri de răspuns stabilite de utilizator în prealabil (cum ar fi suspendarea protocolului), reducând astfel pierderile. Cu toate acestea, unele platforme nu au motoare de detectare a atacurilor, iar sistemul nu poate identifica direct tranzacțiile de atac și notifica utilizatorii. În schimb, utilizatorii trebuie să personalizeze condițiile în care o tranzacție poate fi determinată ca fiind un atac. Deoarece caracteristicile tranzacțiilor de atac sunt foarte complexe, iar utilizatorii (deseori dezvoltatori de contracte) nu au neapărat cunoștințe de securitate suficiente, acest lucru este foarte dificil pentru utilizatori.

Camera de război

Când protocolul se confruntă cu atacuri, înființarea unei camere de război este deosebit de critică. Acest lucru ajută protocolul să înțeleagă situația, să sincronizeze informațiile cu comunitatea în timp util și să integreze eficient resursele pentru a lua măsuri de răspuns, ceea ce necesită o cooperare strânsă din partea experților din mai multe domenii.

SEAL 911 este conceput pentru a „ajuta utilizatorii, dezvoltatorii și cercetătorii în securitate să se conecteze direct la experți în securitate de încredere în situații de urgență”. Utilizatorii pot obține acest serviciu prin intermediul robotului SEAL 911 Telegram (https://t.me/seal_911_bot) și pot forma rapid o cameră de război pentru a face față provocărilor de securitate atunci când proiectul este atacat.

Analiza cauzei atacului

Când un protocol este atacat, este esențial să identificați sursa problemei, cum ar fi vulnerabilitățile din cadrul contractului inteligent și modul în care vulnerabilitatea a fost exploatată. Analiza tranzacțiilor de atac necesită ajutorul unor instrumente Phalcon Explorer, OpenChain și Tenderly sunt alegeri bune.

Urmărirea fluxului de fonduri

Urmărirea fluxului de fonduri se referă la urmărirea fondurilor inițiale ale atacatorului și a profiturilor de atac pe lanț pentru a localiza adrese și entități relevante. Dacă aceste active ajung la entități centralizate (de exemplu, burse centralizate și alte entități la nivel instituțional), autoritățile de aplicare a legii pot fi contactate pentru a ajuta la înghețarea fondurilor.

Chainalysis, TRM Labs, ARKHAM, ELLIPTIC și MetaSleuth sunt companii/produse reprezentative în acest domeniu. De exemplu, MetaSleuth poate urmări automat fluxurile de fonduri încrucișate și poate furniza etichete de adrese bogate. ARKHAM înființează o comunitate în care părțile de protocol pot publica recompense de investigație pentru a stimula membrii comunității să ajute să urmărească fluxurile financiare ale atacatorului.

Resurse educaționale privind siguranța

Cunoașterea este cea mai bună linie de apărare. Pe lângă furnizorii și produsele de securitate menționați anterior, există o altă categorie de rol care este esențială pentru securitatea DeFi: platformele educaționale. Resursele sau informațiile furnizate de aceste platforme pot ajuta practicanții și utilizatorii DeFi să înțeleagă profund cunoștințele de securitate, să îmbunătățească gradul de conștientizare în materie de securitate și să dezvolte abilități de securitate, jucând un rol important în promovarea dezvoltării securității DeFi. Aducem un omagiu acestor platforme și împărtășim mai jos câteva cărora merită să le acordăm atenție.

  • SΞCURΞUM: O comunitate Discord concentrată pe securitatea Ethereum și găzduiește în mod regulat competiția de securitate a contractelor inteligente „Secureum RACE”.

    https://x.com/TheSecureum

  • Tabloul de bord pentru incidente de securitate: această platformă agregează și actualizează atacurile în timp real care implică pierderi de peste 100.000 USD și oferă informații detaliate, cum ar fi sumele pierderilor, lanțurile afectate, tipurile de vulnerabilități, analiza cauzelor atacului și PoC.

    https://app.blocksec.com/explorer/security-incidents

  • Rekt: Cunoscut sub numele de dark web pentru știrile DeFi, oferă o analiză aprofundată a exploatărilor, hackurilor și înșelătoriilor DeFi.

    https://rekt.news/

  • RugDoc: Comunitatea DeFi de securitate și educație. Platforma oferă informații despre evaluarea riscului proiectului, precum și o platformă RugDocWiKi care introduce ecologia și tehnologia DeFi.

    https://rugdoc.io/

  • DeFiHackLabs: Comunitatea de securitate Web3, dedicată să ajute talentele de securitate Web2 să intre în domeniul Web3 Cu peste 2.000 de membri și aproape 200 de hackeri cu pălărie albă din întreaga lume, depozitul DeFiHackLabs oferă o mulțime de resurse de învățare.

    https://x.com/DeFiHackLabs

  • Solodit: Această platformă conține rapoarte de audit anterioare de la firmele de audit Web3.

     https://solodit.xyz/

  • Ethernaut: Un joc bazat pe Web3/Solidity în care jucătorii trebuie să identifice vulnerabilități în contractele Ethereum, similar cu CTF.

    https://ethernaut.openzeppelin.com/

Concluzie

Problemele de securitate provoacă pierderi de miliarde de dolari în fiecare an și reprezintă o amenințare serioasă pe termen lung pentru ecosistemul DeFi. În prezent, majoritatea măsurilor de securitate vizează probleme de securitate înainte ca proiectul să intre online. Cu toate acestea, nu există niciun „glonț de argint” în securitate. În diferite etape de dezvoltare a protocolului, ar trebui să existe măsuri corespunzătoare pentru a asigura securitatea acestuia și pe întregul ciclu de viață al protocolului.

Sperăm că industria va recunoaște importanța securității după ce proiectul va intra online, va lua măsuri pentru a monitoriza riscurile de protocol și va bloca automat atacurile.

De asemenea, sperăm că ecosistemul DeFi poate forma un consens de securitate mai întâi pentru a proteja mai bine securitatea activelor utilizatorilor.