Poiché il settore DeFi continua ad attrarre denaro e utenti, i cattivi attori di tutto il mondo continuano a vederlo come un obiettivo attraente, maturo per la raccolta e scarsamente protetto.
Negli ultimi mesi, ho tenuto traccia di alcuni degli exploit più importanti dei protocolli DeFi e almeno sette di essi sembrano essere il risultato dei soli difetti degli smart contract.
Ad esempio, gli hacker hanno colpito e derubato Wormhole, rubando oltre 300 milioni di dollari, Qubit Finance (80 milioni di dollari), Meter (4.4 milioni di dollari), Deus (3 milioni di dollari), TreasureDAO (oltre 100 NFT) e infine Agave e Hundred Finance che, insieme , ha perso 11 milioni di dollari in totale. Tutti questi attacchi hanno portato al furto di somme di denaro piuttosto ingenti, causando gravi danni ai progetti.
Molti dei protocolli presi di mira hanno visto una svalutazione della loro criptovaluta, sfiducia da parte degli utenti, critiche sulla sicurezza della DeFi e dei contratti intelligenti e simili conseguenze negative.
Quali tipi di exploit si sono verificati durante gli attacchi?
Naturalmente, ognuno di questi casi è unico e sono stati utilizzati diversi tipi di exploit per affrontare ogni singolo progetto, a seconda delle loro vulnerabilità e difetti. Gli esempi includono errori logici, attacchi di rientro, attacchi flashloan con manipolazioni dei prezzi e altro ancora. Credo che questo sia il risultato del fatto che i protocolli DeFi diventano più complessi e, mentre lo fanno, la complessità del codice rende sempre più difficile eliminare tutti i difetti.
Inoltre, ho notato due cose durante l'analisi di ciascuno di questi incidenti. Il primo è che gli hacker sono riusciti a farla franca ogni volta con enormi quantità: milioni di dollari in criptovalute.
Questo "giorno di paga" offre agli hacker un incentivo a dedicare tutto il tempo necessario allo studio dei protocolli, anche mesi alla volta, poiché sanno che ne varrà la pena. Ciò significa che gli hacker sono motivati a dedicare molto più tempo alla ricerca di difetti rispetto agli auditor.
La seconda cosa che spicca è che, in alcuni casi, gli hack erano in realtà estremamente semplici. Prendi come esempio l'attacco dei Cento Finanze. Il progetto è stato colpito utilizzando un bug noto che può essere generalmente trovato nei fork composti se viene aggiunto un token al protocollo. Tutto ciò che l'hacker deve fare è attendere che uno di questi token venga aggiunto a Hundred Finance. Dopodiché, tutto ciò che serve è seguire alcuni semplici passaggi per utilizzare l'exploit per ottenere i soldi.
Cosa possono fare i progetti DeFi per proteggersi?
Andando avanti, la cosa migliore che questi progetti possono fare per proteggersi dai cattivi attori è concentrarsi sugli audit. Più approfondito, meglio è e condotto da professionisti esperti che sanno a cosa prestare attenzione. Ma c'è un'altra cosa che i progetti possono fare, anche prima di ricorrere agli audit, ed è assicurarsi che abbiano una buona architettura creata da sviluppatori responsabili.
Ciò è particolarmente importante poiché la maggior parte dei progetti blockchain sono open source, il che significa che il loro codice tende a essere copiato e riutilizzato. Accelera le cose durante lo sviluppo e il codice è gratuito.
Il problema è se si scopre che è difettoso e viene copiato prima che gli sviluppatori originali scoprano le vulnerabilità e le risolvano. Anche se annunciano e implementano la correzione, coloro che l'hanno copiata potrebbero non vedere le notizie e il loro codice rimane vulnerabile.
Quanto possono effettivamente aiutare gli audit?
Gli smart contract funzionano come programmi che girano su tecnologia blockchain. In quanto tali, è possibile che siano difettosi e che contengano bug. Come ho detto prima, più complesso è il contratto, maggiori sono le probabilità che uno o due difetti siano sfuggiti ai controlli degli sviluppatori.
Sfortunatamente, ci sono molte situazioni in cui non esiste una soluzione semplice per correggere questi difetti, motivo per cui gli sviluppatori dovrebbero prendersi il loro tempo e assicurarsi che il codice sia eseguito correttamente e che i difetti vengano individuati immediatamente o almeno il prima possibile.
È qui che entrano in gioco gli audit, perché se si testa il codice e si documenta lo stato di avanzamento del suo sviluppo e dei test in modo adeguato, è possibile eliminare presto la maggior parte dei problemi.
Naturalmente, anche gli audit non possono fornire una garanzia al 100% che non ci saranno problemi con il codice. Nessuno può. Non è un caso che gli hacker abbiano bisogno di mesi per capire la più piccola vulnerabilità che possono sfruttare a proprio vantaggio: non è possibile creare il codice perfetto e renderlo utile, soprattutto non quando si tratta di nuove tecnologie.
Gli audit riducono il numero di problemi, ma il vero problema è che molti dei progetti colpiti dagli hacker non hanno nemmeno avuto alcun audit.
Quindi, a tutti gli sviluppatori e i proprietari di progetti che sono ancora nel processo di sviluppo è necessario ricordare che la sicurezza non deriva dal superamento di un audit. Tuttavia, inizia sicuramente da lì. Lavora sul tuo codice; assicurati che abbia un'architettura ben progettata e che sviluppatori abili e diligenti ci lavorino.
Assicurati che tutto sia testato e ben documentato e utilizza tutte le risorse a tua disposizione. Le ricompense dei bug, ad esempio, sono un ottimo modo per far controllare il tuo codice dalle persone dal punto di vista degli hacker e una nuova prospettiva da parte di qualcuno che cerca un modo per entrare può essere inestimabile per proteggere il tuo progetto.
Messaggio dell'ospite di Gleb Zykov di HashEx
Gleb ha iniziato la sua carriera nello sviluppo di software in un istituto di ricerca, dove ha acquisito un forte background tecnico e di programmazione, sviluppando diversi tipi di robot per il Ministero russo delle situazioni di emergenza.
Successivamente Gleb ha portato la sua esperienza tecnica alla società di servizi IT GTC-Soft, dove ha progettato applicazioni Android. È passato a diventare lo sviluppatore principale e, successivamente, il CTO dell'azienda. In GTC Gleb ha guidato lo sviluppo di numerosi servizi di monitoraggio dei veicoli e un servizio simile a Uber per i taxi premium. Nel 2017 Gleb è diventato uno dei co-fondatori di HashEx, una società internazionale di auditing e consulenza blockchain. Gleb ricopre la posizione di Chief Technology Officer, guidando lo sviluppo di soluzioni blockchain e audit di contratti intelligenti per i clienti dell'azienda.
Fonte: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/