Всего несколько дней назад биржа Velocore потеряла около 10 миллионов долларов из-за нарушения безопасности в своих блокчейнах, что подчеркивает серьезность кризиса безопасности, угрожающего криптоиндустрии.
Конечно, это не первый инцидент безопасности, который мы слышим о централизованных и децентрализованных биржах. Многие хакерские и нехакерские тактики лишили криптоиндустрию миллиардов, особенно катастрофа на сумму 1,4 миллиарда долларов в прошлом году.
Эти нарушения безопасности происходили и будут продолжаться до тех пор, пока криптовалютные биржи не направят большую часть своих ресурсов на закрытие слепых зон и реализацию превентивных мер.
В настоящее время большинство атак на криптобиржи происходят через одну из этих дверей: некоторые на централизованные биржи, другие на DEX:
Смарт-контракты
Связанные уязвимости
Ценовые манипуляции
Ошибки кодирования и несовершенные смарт-контракты
Несмотря на свой инновационный характер, смарт-контракты не являются надежными. Одним из наиболее известных случаев является сценарий повторной атаки, при котором злоумышленник может вызвать функцию более одного раза, прежде чем первый вызов будет завершен.
То же самое верно и для CEX во многих сценариях, что лишь показывает, что еще есть возможности для повышения безопасности.
В целом, большинство проблем исходит из этих двух источников:
Кодирование отверстий
Когда дело доходит до нарушений безопасности, люди обычно ожидают чего-то гораздо более великолепного, чем сбой в коде. Кодирование, хотя и довольно простое, по-прежнему является основой любого криптопроекта. Небольшие ошибки в коде могут оказать большое влияние на конечный результат. Хорошим примером является атака DAO в 2016 году, в результате которой хакеры потеряли 50 миллионов долларов только из-за дыры в безопасности в коде.
Отсутствие надлежащего аудита
Многие проекты запускаются без тщательного аудита со стороны, что делает их более уязвимыми к уязвимостям. Нападение на сеть Ronin в 2022 году почти уничтожило Axie Infinity, похитив 173 600 Ethereum и 25,5 миллионов долларов США — почти 700 миллионов долларов.
Связанные уязвимости
Есть плюсы и минусы совместной работы бирж и протоколов. Чем больше функций они добавляют, тем более сложные связи они демонстрируют. Единственное нарушение одного протокола может вызвать проблемы в других, что-то вроде ситуации с гнилым яблоком.
Кризисы совместимости и нарушенная интеграция
Недостаток в одном протоколе может иметь эффект домино для других протоколов из-за того, насколько они взаимосвязаны. Взлом Cream Finance в 2021 году был всего лишь еще одним проектом DeFi, скомпрометированным оппортунистическими субъектами. Преступники похитили активы на сумму более 130 миллионов долларов из других сетей, воспользовавшись дырой в безопасности в сети Cream Finance.
Тот же сценарий в значительной степени применим к CEX и их недостаточной должной осмотрительности при партнерстве со сторонним сервисом ликвидности или небезопасными кошельками и платежными шлюзами. Конечно, во многих случаях централизованный мониторинг может смягчить ущерб.
Срочные кредиты
При использовании срочных кредитов заемщикам не нужно предоставлять залог, если они выплачивают деньги сразу. Некоторые злоумышленники воспользовались срочными кредитами, чтобы искусственно завысить цены на бирже и украсть деньги у более слабых протоколов, которые подвержены манипуляциям.
Хотя ущерб часто ограничивается DEX, он может привести к аналогичным рыночным манипуляциям на CEX, что повлечет за собой пристальное внимание со стороны регулирующих органов и нанесет серьезный удар по их репутации.
Ценовые манипуляции
Нечестная игра – это самый простой трюк на любом финансовом рынке. Централизованные и децентрализованные биржи ничем не отличаются. Они страдают во многих отношениях, в том числе:
Лидеры
Хакеры, зорко следящие за прибылью, могут использовать ботов для «опередления» — выполнения своих сделок с более высокой комиссией — путем обнаружения прибыльных сделок, находящихся в пуле. Хорошим примером является Merlin DEX. Чтобы получить контроль над токенами LP, хакеры взломали биржу и использовали уязвимость в смарт-контракте. Закачивая в пул фальшивые токены, они сливали настоящие с биржи и уходили с биржи с огромными потерями.
Подмена и наслоение
Спуферы манипулируют рыночными ценами, создавая обманчивую видимость спроса и предложения. Они делают это, размещая крупные заказы без намерения исполнения, только для того, чтобы отменить их до того, как они будут исполнены. Похожая тактика известна как «расслоение», когда трейдеры размещают несколько ордеров на разных ценовых уровнях, чтобы создать ложное впечатление о значительной глубине рынка.
Каковы решения?
Хотя криптовалютные биржи постоянно работают над повышением безопасности пользователей, иногда сложно угнаться за хакерами. Но они могут укрепить свою структуру несколькими мерами:
Регулярные аудиты и вознаграждение за обнаружение ошибок
Чтобы обнаружить недостатки безопасности в приложениях DeFi, таких как смарт-контракты, прежде чем они могут быть использованы в плохих целях, необходим тщательный аудит кода. Даже самые опытные программисты могут пропустить некоторые недостатки и недостатки безопасности; могут помочь тщательные проверки, проводимые заслуживающими доверия сторонними охранными компаниями.
Схемы вознаграждения за обнаружение ошибок также побуждают экспертов по безопасности и хакеров раскрывать уязвимости, что имеет решающее значение для индустрии DeFi. Помимо повышения безопасности после запуска, эти шаги готовят почву для регулярного обновления и улучшения стандартов безопасности.
Соотношение заказов к сделкам
Ожидается, что трейдеры будут поддерживать справедливое соотношение сделанных заказов и фактических транзакций, а на CEX возложена задача отслеживать и обеспечивать соблюдение этого соотношения. После этого им необходимо наказывать людей, которые превышают установленное соотношение заказов к сделкам. Это не позволит людям размещать слишком много заказов, не планируя их выполнять.
Меры уровня 2
Снизить цены на газ и трафик можно, используя технологии Layer 2. Однако DEX должны быть осторожны, чтобы эти решения не сделали деятельность в сети небезопасной и не открыли двери для новых уязвимостей.
DeFi-страхование
Наличие страховки в DeFi имеет решающее значение, поскольку она защищает пользователей от потери денег из-за хакеров, эксплойтов или других операционных проблем.
Пользователи могут быть спокойны и рассматривать платформы DeFi как привлекательную альтернативу традиционным банковским системам, поскольку они обеспечивают защиту от различных угроз.
Прозрачность и отчетность
Трейдеры смогут лучше различать справедливое и несправедливое поведение, если у них будет доступ к всеобъемлющим рыночным данным и знаниям. Предоставьте трейдерам возможность анонимно раскрывать информацию о манипулировании рынком или сомнительной деятельности.
Преступники, стоящие за этими операциями, всегда на шаг впереди бирж, когда дело касается технологических инноваций. Чтобы защитить своих клиентов от злоумышленников, эти платформы должны постоянно разрабатывать и внедрять новые меры безопасности.
Сообщение «Укрепление криптовалютной биржи: проблемы и стратегические решения» впервые появилось на Metaverse Post.
