Perkembangan industri blockchain dan cara bertahan dari serangan terhadap DeFi

Saat ini, pasar blockchain secara keseluruhan masih dalam masa pertumbuhan, dankeuangan terdesentralisasi (DeFi) pasar adalah bagian yang paling menjanjikan. Menurut data DefiLlama, pada tahun 2021, pasar DeFi memiliki sekitar $200 miliar likuiditas yang dikunci dalam kontrak pintar. Jika kita melihat modal ini sebagai investasi awal, pasar ini terlihat seperti usaha yang sangat menjanjikan. Tidak terlalu banyak perusahaan global yang dapat membanggakan kapitalisasi seperti itu. Tetapi setiap pasar muda memiliki masalah gigi. Dengan DeFi, masalah utamanya adalah kurangnya pengembang blockchain yang berkualitas.

Industri ini masih sangat muda dan memiliki basis pengguna yang relatif kecil. Kebanyakan orang paling baik mendengar tentang DeFi tanpa tahu apa itu. Tapi seperti yang terjadi dengan setiap usaha baru yang menjanjikan, hal itu dengan cepat menimbulkan banyak minat spekulatif. Sayangnya, mempersiapkan personel membutuhkan waktu lebih lama, terutama jika menyangkut bidang padat pengetahuan seperti blockchain dan pengembangan kontrak pintar. Ini berarti bahwa beberapa tim proyek harus berkompromi dan mempekerjakan personel yang kurang berpengalaman.

Masalah ini pastimenciptakan peningkatan risiko celah keamanan dalam kode proyek ini. Dan kemudian kita harus menghadapi konsekuensinya dalam kehilangan modal pengguna. Untuk pemahaman singkat tentang seberapa besar masalah ini, saya dapat mengatakan bahwa sekitar 10% dari total penguncian likuiditas DeFi telah dicuri oleh peretas. Seharusnya tidak mengejutkan siapa pun bahwa publik arus utama lebih memilih untuk menjauh dari sistem keuangan yang menimbulkan bahaya bagi dana mereka.

Terkait:Bagaimana protokol DeFi diretas?

Bagaimana eksploitasi DeFi berubah baru-baru ini?

Serangan terhadap DeFi telah lama berpusat pada serangan reentrancy. Kita bisa mengingat yang terkenal Peretasan DAO tahun 2016 yang mengakibatkan hilangnya modal investor sebesar $150 juta dan menyebabkan hard fork Ethereum. Sejak saat itu, kerentanan ini telah dieksploitasi berkali-kali dalam kontrak pintar yang berbeda.

Fungsi panggilan balik digunakan secara aktif oleh protokol peminjaman: Memungkinkan kontrak cerdas untuk memeriksa saldo agunan pengguna sebelum memberikan pinjaman. Semua proses ini terjadi dalam satu transaksi, yang memberikan solusi bagi peretas untuk mencuri uang dari kontrak pintar semacam itu. Saat Anda mengirim permintaan untuk meminjam dana, fungsi callback pertama-tama memeriksa saldo agunan, kemudian memberikan pinjaman jika agunannya mencukupi dan kemudian mengubah saldo agunan pengguna di dalam kontrak pintar.

Untuk mengelabui smart contract, peretas mengembalikan panggilan ke fungsi callback untuk memulai proses ini dari awal. Karena transaksi belum diselesaikan di blockchain, fungsi tersebut memberikan pinjaman lain untuk saldo agunan yang sama. Meskipun solusi untuk masalah ini sudah cukup lama, banyak proyek masih menjadi korbannya.

Terkadang, tim proyek dengan sedikit keahlian dalam menulis kontrak pintar memutuskan untuk meminjam basis kode proyek DeFi sumber terbuka lain untuk menerapkan kontrak pintar mereka sendiri. Mereka biasanya melakukannya dengan proyek-proyek terkemuka yang telah diaudit dan memiliki basis pengguna yang besar dan telah terbukti dibangun dengan aman. Tetapi mereka mungkin memutuskan untuk melakukan sedikit modifikasi pada kode pinjaman untuk menambahkan fungsionalitas yang mereka inginkan dalam kontrak cerdas mereka, bahkan tanpa mengubah kode aslinya. Hal ini dapat merusak logika smart contract, yang seringkali tidak disadari oleh developer.

Ini adalah apamemungkinkan peretas untuk mencuri sekitar $19 juta dari Cream Finance pada Agustus 2021. Tim Cream Finance meminjam kode dari protokol DeFi yang berbeda dan menambahkan token panggilan balik dalam kontrak pintar mereka. Meskipun Anda dapat mencegah serangan reentrancy dengan menerapkan pola "checks, effects, interaction" yang memprioritaskan perubahan keseimbangan atas pengeluaran dana, beberapa tim masih gagal melindungi platform mereka dari eksploitasi tersebut.

Serangan flash loan memungkinkan peretas untuk mencuri dana secara berbeda dan semakin populer sejak ledakan DeFi tahun 2020. Gagasan utama serangan flash loan adalah Anda tidak perlu memiliki agunan untuk meminjam dana dari suatu protokol karena paritas finansial masih terjamin dengan fakta bahwa pinjaman diambil dan dikembalikan dalam satu transaksi. Dan itu tidak akan terjadi jika Anda gagal mengembalikan pinjaman dengan bunga dalam satu transaksi. Tetapi penyerang telah berhasil melakukan serangan flash loan pada banyak protokol.

Terkait:Dibutuhkan: Proyek pendidikan besar-besaran untuk memerangi peretasan dan penipuan

Dalam melakukannya, mereka menggunakan banyak protokol untuk meminjam dan menyeret likuiditas hingga tindakan terakhir di mana mereka memperkuat harga token melalui oracle atau kumpulan likuiditas dan menggunakannya untuk menipu pump-and-dump dan pergi dengan likuiditas dalam array dari beberapa cryptocurrency utama yang berbeda seperti Ether (ETH ), Bitcoin Terbungkus (wBTC), dan lainnya. Beberapa serangan flash loan terkenal termasukSerangan Pancake Bunny , di mana protokol kehilangan $200 juta, danserangan Cream Finance lainnya , di mana lebih dari $100 juta telah dicuri.

Bagaimana cara mempertahankan diri dari eksploitasi DeFi?

Untuk membangun protokol DeFi yang aman, idealnya, Anda hanya boleh mempercayai pengembang blockchain yang berpengalaman. Mereka harus memiliki tim profesional yang memimpin dengan keterampilan dalam membangun aplikasi terdesentralisasi. Sebaiknya ingat juga untuk menggunakan pustaka kode yang aman untuk pengembangan. Kadang-kadang, pustaka yang kurang mutakhir bisa menjadi opsi paling aman daripada pustaka dengan basis kode terbaru.

Pengujian adalahhal krusial lainnya semua proyek DeFi yang serius harus dilakukan. Sebagai CEO dari perusahaan audit kontrak pintar, saya selalu berusaha untuk menutupi 100% kode klien kami dan menekankan pentingnya perlindungan terdesentralisasi dari kunci pribadi yang digunakan untuk memanggil fungsi kontrak pintar dengan akses terbatas. Yang terbaik adalah menggunakan desentralisasi kunci publik melalui multisignature yang mencegah satu entitas memiliki kendali penuh atas kontrak.

Pada akhirnya, pendidikan adalah salah satu kunci yang memungkinkan sistem keuangan berbasis blockchain menjadi lebih aman dan andal. Dan pendidikan harus menjadi salah satu perhatian utama mereka yang mencari pekerjaan di DeFi karena dapat menawarkan hadiah yang menggiurkan bagi semua orang yang dapat memberikan kontribusi yang layak.

Artikel ini tidak mengandung saran atau rekomendasi investasi. Setiap langkah investasi dan perdagangan melibatkan risiko, dan pembaca harus melakukan penelitian sendiri saat mengambil keputusan.

Pandangan, pemikiran, dan pendapat yang diungkapkan di sini adalah milik penulis sendiri dan tidak serta merta mencerminkan atau mewakili pandangan dan pendapat Cointelegraph.