現在、ブロックチェーン市場全体はまだ初期段階にあり、分散型金融 (DeFi) 市場は最も有望な部分です。 DefiLlama のデータによると、2021 年の DeFi 市場では、約 2,000 億ドルの流動性がスマート コントラクトにロックされていました。この資金を初期投資と捉えれば、この市場は非常に有望なベンチャーに見えます。これほどの資本金を誇れるグローバル企業はそう多くありません。しかし、どの若い市場にも歯が生える問題があります。 DeFi の主な問題は、資格のあるブロックチェーン開発者が不足していることです。
この業界は非常に歴史が浅く、ユーザーベースも比較的小規模です。ほとんどの人は、せいぜいDeFiについて聞いたことがあるだけで、それが何であるかについては何も知りません.しかし、すべての新しい有望なベンチャーで起こるように、それはすぐに多くの投機的な関心を生み出します.残念なことに、特にブロックチェーンやスマートコントラクト開発などの知識集約的な領域に関しては、人材の準備にはるかに時間がかかります。これは、一部のプロジェクト チームが妥協し、経験の浅い人員を雇わなければならないことを意味します。
この問題は必然的にセキュリティの抜け穴のリスクが高まる これらのプロジェクトのコードで。そして、ユーザー資本の損失という結果に対処する必要があります。この問題がどれほど大きいかを簡単に理解するために、ロックされた DeFi の総流動性の約 10% がハッカーによって盗まれていると言えます。主流の一般大衆が、自分たちの資金にそのような危険をもたらす金融システムから離れることを好むことは、誰も驚くべきことではありません.
関連している:DeFiプロトコルはどのようにハッキングされますか?
DeFiエクスプロイトは最近どのように変化しましたか?
DeFi への攻撃は、長い間、リエントラント攻撃を中心に行われてきました。有名なものを思い出すことができます 2016 年の DAO のハッキングにより、1 億 5,000 万ドルの投資家資本が失われ、イーサリアムのハードフォークにつながりました。それ以来、この脆弱性はさまざまなスマート コントラクトで何度も悪用されてきました。
コールバック機能は、レンディング プロトコルで積極的に利用されています。これにより、スマート コントラクトは、ローンを提供する前にユーザーの担保残高を確認できます。このプロセスはすべて 1 回のトランザクション内で行われるため、ハッカーはこのようなスマート コントラクトからお金を盗む回避策を得ることができます。資金を借りるためのリクエストを送信すると、コールバック関数は最初に担保残高をチェックし、担保が十分であればローンを提供し、スマート コントラクト内のユーザーの担保残高を変更します。
スマート コントラクトを欺くために、ハッカーはコールバック関数への呼び出しを返し、このプロセスを最初から開始します。トランザクションはブロックチェーン上でファイナライズされていないため、関数は同じ担保残高に対して別のローンを発行します。この問題の解決策が登場してからかなり経ちますが、多くのプロジェクトは依然としてその犠牲になっています。
スマート コントラクトを作成するスキルがほとんどないプロジェクト チームが、別のオープンソース DeFi プロジェクトのコードベースを借りて、独自のスマート コントラクトをデプロイすることを決定する場合があります。彼らは通常、監査され、大規模なユーザーベースを持ち、安全に構築されていることが証明されている評判の良いプロジェクトでそうします.しかし、借用したコードに小さな変更を加えて、元のコードを変更することなく、スマート コントラクトに必要な機能を追加することを決定する場合があります。これにより、スマート コントラクトのロジックが損なわれる可能性がありますが、開発者はこれに気付いていないことがよくあります。
これは何ハッカーが約 1,900 万ドルを盗むことを許可した 2021 年 8 月に Cream Finance から。Cream Finance チームは別の DeFi プロトコルからコードを借用し、スマート コントラクトにコールバック トークンを追加しました。資金の発行よりも残高の変更を優先する「チェック、効果、相互作用」パターンを実装することでリエントラント攻撃を防ぐことができますが、一部のチームは依然としてこれらのエクスプロイトからプラットフォームを保護することに失敗しています.
フラッシュ ローン攻撃は、ハッカーが別の方法で資金を盗むことを可能にし、2020 年の DeFi ブーム以降、ますます人気が高まっています。フラッシュ ローン攻撃の主なアイデアは、金融パリティが依然として保証されているため、プロトコルから資金を借りるために担保を用意する必要がないということです。ローンが1回のトランザクション内で取得され、返されるという事実によって。また、1回の取引で利息付きのローンを返さなかった場合、それは行われません。しかし、攻撃者は多くのプロトコルでフラッシュ ローン攻撃を成功させてきました。
関連している:Needed: ハッキングや詐欺と戦うための大規模な教育プロジェクト
それらを行う際に、彼らは複数のプロトコルを使用して流動性を借りて引きずり、オラクルまたは流動性プールを通じてトークンの価格を増幅し、それを使用してポンプアンドダンプを詐欺し、配列内の流動性を失います。イーサなどのいくつかの主要な異なる暗号通貨 (イーサリアム )、ラップされたビットコイン (wBTC) など。いくつかの有名なフラッシュローン攻撃には、パンケーキバニーの攻撃 、プロトコルが2億ドルを失った場所、および別の Cream Finance 攻撃 、1億ドル以上が盗まれた。
DeFi エクスプロイトから防御するには?
安全な DeFi プロトコルを構築するには、理想的には、経験豊富なブロックチェーン開発者のみを信頼する必要があります。分散型アプリケーションを構築するスキルを備えたプロのチーム リードが必要です。また、開発には安全なコード ライブラリを使用することを忘れないでください。場合によっては、最新のコード ベースのライブラリよりも最新でないライブラリの方が安全なオプションになることがあります。
テストはもう一つの重要なこと すべての深刻な DeFi プロジェクトが行う必要があります。スマート コントラクト監査会社の CEO として、私は常にクライアントのコードを 100% カバーするように努めており、アクセスが制限されたスマート コントラクトの関数を呼び出すために使用される秘密鍵の分散型保護の重要性を強調しています。 1 つのエンティティがコントラクトを完全に制御できないようにするマルチシグによる公開鍵の分散化を使用するのが最善です。
結局、教育は、ブロックチェーンベースの金融システムをより安全で信頼できるものにするための鍵の 1 つです。また、教育は、実行可能な貢献を行うことができるすべての人に食欲をそそる報酬を提供できるため、DeFiでの雇用を探している人々の主要な関心事の1つになるはずです.
この記事には、投資に関するアドバイスや推奨事項は含まれていません。すべての投資と取引の動きにはリスクが伴い、読者は決定を下す際に独自の調査を行う必要があります。
ここに記載されている見解、考え、意見は著者個人のものであり、必ずしもコインテレグラフの見解や意見を反映または代表するものではありません。
ドミトリー・ミシュニン DeFi セキュリティおよび分析会社 HashEx の創設者兼 CEO であり、ブロックチェーン セキュリティの分野で長年の専門知識を持っています。彼は、IT システム、ブロックチェーン、DeFi の脆弱性に関する研究など、科学的活動に多くの時間を費やしてきました。 Dmitry の管理下で、HashEx はスマート コントラクト監査の分野のリーダーの 1 つになりました。