Буквально кілька днів тому біржа Velocore втратила близько 10 мільйонів доларів через порушення безпеки своїх блокчейнів, що підкреслює серйозність кризи безпеки, яка загрожує криптоіндустрії.
Звичайно, це не перший інцидент безпеки, який ми чуємо про централізовані та децентралізовані біржі. Багато хакерських і нехакерських тактик позбавили криптоіндустрію мільярдів, особливо катастрофа минулого року на суму 1,4 мільярда доларів.
Ці порушення безпеки мали місце і триватимуть, доки криптовалютні біржі не виділять більшу частину своїх ресурсів на покриття сліпих зон і впровадження превентивних заходів.
Наразі більшість атак на криптобіржі відбуваються через одні з цих дверей, деякі на централізовані біржі, а інші на DEX:
Розумні контракти
Прикуті вразливості
Цінові маніпуляції
Помилки кодування та недосконалі смарт-контракти
Незважаючи на їх інноваційний характер, смарт-контракти не є надійними. Одним із найвідоміших випадків є сценарій атаки повторного входу, коли зловмисник може викликати функцію кілька разів до завершення першого виклику.
Те саме стосується CEX у багатьох сценаріях, що лише свідчить про те, що ще є місце для підвищення безпеки.
Загалом більшість проблем виникає з цих двох джерел:
Кодування отворів
Коли мова йде про порушення безпеки, люди зазвичай очікують чогось набагато більш славного, ніж збій кодування. Кодування, незважаючи на те, що воно досить просте, все ще є основою будь-якого криптопроекту. Невеликі помилки в коді можуть сильно вплинути на кінцевий результат. Одним із гарних прикладів є атака DAO 2016 року, яка втратила хакерами 50 мільйонів доларів лише через дірку в безпеці в коді.
Відсутність належного аудиту
Багато проектів запускаються без ретельного аудиту сторонньою стороною, що робить їх більш сприйнятливими до вразливостей. Напад на мережу Ronin у 2022 році майже знищив Axie Infinity, викравши 173 600 Ethereum і 25,5 мільйонів USDC — майже 700 мільйонів доларів.
Прикуті вразливості
Існують плюси і мінуси того, як обмін і протоколи працюють разом. Чим більше функцій вони додають, тим складніші зв’язки демонструють. Одне порушення в одному протоколі може спричинити проблеми в інших, як ситуація з гнилим яблуком.
Кризи сумісності та скомпрометовані інтеграції
Помилка в одному протоколі може мати ефект доміно на інші протоколи через те, наскільки вони взаємопов’язані. Злом Cream Finance у 2021 році був ще одним проектом DeFi, скомпрометованим опортуністичними акторами. Зловмисники викрали активи на суму понад 130 мільйонів доларів з інших мереж, скориставшись дірою в безпеці мережі Cream Finance.
Той самий сценарій може майже стосуватися CEX і їхньої недостатньої належної обачності, коли вони співпрацюють зі сторонньою службою ліквідності або незахищеними гаманцями та платіжними шлюзами. Звичайно, централізований моніторинг у багатьох випадках може пом’якшити шкоду.
Швидкі позики
Завдяки швидким кредитам позичальникам не потрібно виставляти заставу, якщо вони повертають гроші одразу. Деякі зловмисники скористалися миттєвими позиками, щоб штучно завищити ціни на біржі та вкрасти гроші зі слабкіших протоколів, сприйнятливих до маніпуляцій.
Хоча збиток часто обмежується DEX, він може призвести до подібних ринкових маніпуляцій на CEX, що спричинить регулятивний контроль і серйозно вдарить по їхній репутації.
Цінові маніпуляції
Грати нечесно — найпростіший трюк у книзі для будь-якого фінансового ринку. Централізовані та децентралізовані біржі нічим не відрізняються. Вони страждають різними способами, зокрема:
Фронтатори
Хакери, які прагнуть отримати прибуток, можуть використовувати ботів для «фронтання» — виконання своїх угод за вищу плату — шляхом виявлення прибуткових ботів, які сидять у пулі. Хорошим прикладом є Merlin DEX. Щоб отримати контроль над токенами LP, хакери зламали біржу та використали недолік у смарт-контракті. Закачуючи підроблені токени в пул, вони вичерпали справжні з біржі та залишили біржу з величезними збитками.
Спуфінг і багатошаровість
Спуфери маніпулюють ринковими цінами, створюючи оманливу видимість попиту та пропозиції. Вони роблять це, розміщуючи великі замовлення без наміру виконання, лише щоб скасувати їх до того, як вони будуть виконані. Подібна тактика відома як розшарування, коли трейдери розміщують кілька замовлень на різних цінових рівнях, щоб створити хибне враження значної глибини ринку.
Які є рішення?
Хоча криптовалютні біржі постійно працюють над підвищенням безпеки користувачів, інколи важко встигнути за хакерами. Але вони можуть зміцнити свою структуру кількома заходами:
Регулярні аудити та винагороди за помилки
Щоб виявити недоліки безпеки в додатках DeFi, таких як смарт-контракти, перш ніж вони можуть бути використані в поганих цілях, необхідні ретельні перевірки коду. Навіть найдосвідченіші програмісти можуть пропустити деякі недоліки та дефекти безпеки; можуть допомогти ретельні перевірки надійних сторонніх охоронних компаній.
Схеми винагороди за помилки також заохочують експертів з безпеки та хакерів розкривати вразливості, що має вирішальне значення для індустрії DeFi. Окрім посилення безпеки після запуску, ці кроки готують ґрунт для регулярного оновлення та вдосконалення стандартів безпеки.
Співвідношення замовлення до торгівлі
Очікується, що трейдери підтримуватимуть справедливе співвідношення кількості зроблених замовлень і фактичних транзакцій, а CEX доручено контролювати та контролювати це співвідношення. Після цього їм потрібно штрафувати людей, які перевищують встановлене співвідношення замовлення до торгівлі. Це не дозволить людям розміщувати занадто багато замовлень, не плануючи їх виконання.
Заходи рівня 2
Зменшити ціни на газ і трафік можна за допомогою технологій рівня 2. Однак DEX повинні бути обережними, щоб ці рішення не зробили діяльність у мережі незахищеною та не відкрили двері для нових вразливостей.
Страхування DeFi
Наявність страхування в DeFi має вирішальне значення, оскільки воно захищає користувачів від втрати грошей через хакерів, експлойти чи інші операційні проблеми.
Користувачі можуть бути спокійні та розглядати платформи DeFi як привабливу альтернативу традиційним банківським системам, оскільки вони забезпечують захист від різноманітних загроз.
Прозорість і звітність
Трейдери можуть краще розрізняти чесну та нечесну поведінку, якщо вони мають доступ до вичерпних ринкових даних і розуміння. Дати трейдерам можливість анонімно розкривати інформацію про маніпулювання ринком або сумнівну діяльність.
Злочинці, які стоять за цими операціями, завжди на крок попереду бірж, коли справа стосується технологічних інновацій. Щоб захистити своїх клієнтів від зловмисників, ці платформи повинні постійно розробляти та впроваджувати нові заходи безпеки.
Повідомлення Зміцнення біржі криптовалют: виклики та стратегічні рішення вперше з’явилося на Metaverse Post.
