Как нам может поведать Coinmarketrate.com, запущенный в 2015 году блокчейн Ethereum (ETH) призван добавить уровень сложности к таким криптовалютам, как Bitcoin, введя концепцию смарт-контрактов на блокчейн.
Напомним, что смарт-контракты — это контракты, которые автоматизируют действия при выполнении заранее определенных условий. Они позволили разработать децентрализованные приложения, сложность которых возрастала с годами.
Экосистема DeFi в настоящее время включает сотни финансовых приложений, начиная от стабильных монет, протоколов кредитования и сбережений, и заканчивая протоколами децентрализованного обмена (DEX). В общей сложности на экосистему DeFi приходится более 258 млрд. долл. Только на блокчейн Ethereum приходится 70% этого TVL — 170 млрд долларов.
Впоследствии, экосистема DeFi развивалась на других блокчейнах, помимо Ethereum, таких как Binance Smart Chain (BSC), Solana (SOL) или Avalanche (AVAX), и это лишь некоторые из них.
Децентрализованный, но не обязательно безопасный
Как мы только что видели, смарт-контракты позволили разработать децентрализованные приложения. Эти приложения называются бездоверительными, поскольку они устраняют необходимость в посреднике для контроля над средствами. Поэтому они являются противоположностью платформам, таким как централизованные биржи, которые имеют полный контроль над средствами своих пользователей.
К сожалению, это еще не все. Хотя эти приложения являются децентрализованными, составляющие их смарт-контракты имеют множество недостатков.
Ну подумайте сами, ведь в действительности, именно люди кодируют смарт-контракты. В результате они могут содержать ошибки, баги или различные недостатки. Следовательно, пользователи DeFi должны полностью доверять разработчикам смарт-контрактов, чтобы обеспечить их полную безопасность.
Со своей стороны, разработчики имеют возможность повысить уровень безопасности, поручив аудит своих приложений специализированным компаниям. К сожалению, этот подход, который должен быть стандартным, слишком часто игнорируется разработчиками. Почему? Так ведь децентрализация!
Миллиарды DeFi из воздуха
Если вы внимательно следите за новостями криптовалют, невозможно пропустить неоднократные взломы экосистемы DeFi. В 2021 году из протоколов DeFi было украдено более 10,5 млрд долларов, говорится в отчете, опубликованном компанией Elliptic.
Для сравнения, взломы и нарушения DeFi стали причиной 1,5 миллиарда убытков в 2020 году, что представляет собой 700%-ный рост в период с 2020 по 2021 год.
Конечно, не все эти потери имеют одинаковое происхождение. В действительности несколько типов атак могут быть направлены на протоколы DeFi, и каждый день обнаруживаются новые.
Различные типы атак
В отчете, опубликованном компанией Elliptic, выделены 2 основных семейства атак:
- Ошибки и недостатки;
- Недостатки, связанные с ключами администрирования.
Ошибки и недостатки в смарт-контрактах могут привести к 2 типам атак.
Во-первых, у нас есть уязвимости, вызванные ошибками в исходном коде протоколов. В этом случае злоумышленники используют недостаток в коде смарт-контракта для выполнения действий, которые в обычных условиях были бы запрещены или даже невозможны.
В качестве примера Elliptic рассматривает протокол vSwap. Он понес убытки в размере 11 миллионов долларов из-за одной строки кода.
Анализ инцидента показал, что была пропущена одна строка кода. Затронутый контракт включал функцию initialize(), которая должна была быть активирована после развертывания.
На втором этапе на протоколы могут быть направлены так называемые экономические атаки. Эти атаки направлены на кратковременное изменение цены актива, с целью извлечения выгоды из экономических условий этого изменения.
Одним из наиболее распространенных видов экономической эксплуатации является манипулирование ценами на активы для того, чтобы воспользоваться арбитражными возможностями на услугах DeFi, которые в противном случае не существовали бы.
Существуют и другие параметры, поддерживающие этот тип атаки. Например, открытый исходный код экосистемы позволяет любому человеку форкнуть протокол, чтобы создать его копию. В результате многие протоколы создаются путем копирования кода других протоколов. А копирование кода означает копирование ошибок, которые потенциально могут быть в нем.
Недостатки, связанные с ключами администрирования
Для многих хакер — это враг номер один для DeFi. Однако, во многих случаях злейшим врагом оказывается сам разработчик протокола.
Действительно, многие протоколы имеют ключи администрирования. Короче говоря, это закрытые ключи, связанные с развертыванием децентрализованного приложения. Их можно сохранить на случай возникновения каких-либо проблем с протоколом.
К сожалению, в некоторых случаях разработчики используют эти ключи для проведения так называемой «ковровой аферы» или «аферы с выходом». На практике разработчик, пользуясь своим контролем над смарт-контрактом, выкачивает средства, вложенные в него, а затем растворяется в воздухе.
На практике, категория ошибок и недостатков, является источником подавляющего большинства атак, в результате которых с 2020 года было похищено 10,8 миллиарда долларов.
Ethereum — королева взломов
Несомненно, Ethereum является королевой блокчейна DeFi. К сожалению, размер его экосистемы DeFi приводит к другому, менее почетному титулу: самый взламываемый блокчейн.
На практике 71,4% взломов DeFi произошли на блокчейне Ethereum. Это составляет общую добычу злоумышленников в размере 8,5 млрд. долл. За Ethereum следует смарт-цепочка Binance с 21,1% взломов.
Кто виноват в этих взломах DeFi?
На первый взгляд, у нас может возникнуть соблазн сказать, что эти взломы — просто случайность, классическая человеческая ошибка. Однако реальность говорит о другом.
Эти недостатки в первую очередь являются следствием некомпетентности и жадности некоторых разработчиков. Действительно, многие протоколы развертываются в сети без малейшего аудита, достойны такого названия. Но протокол, который подвергается аудиту, не всегда проверяется компетентными компаниями. В результате пользователи считают, что они в безопасности, поскольку протокол прошел аудит, тогда как на самом деле некомпетентный аудит потенциально может упустить множество критических недостатков.
В подавляющем большинстве случаев взломов, направленных на неаудированные протоколы, разработчики могли провести аудит хотя бы из-за прибыли, получаемой протоколом. Но, к сожалению, соблазн наживы оказывается сильнее желания обеспечить безопасность протокола.
Некоторые истории о взломах прекрасно иллюстрируют абсурдность экосистемы. Это особенно заметно на примере протокола Cream, который был взломан не менее 3 раз за 9 месяцев. Абсолютно абсурдная ситуация. Вместо того чтобы приостановить работу протокола и полностью пересмотреть его безопасность с помощью специализированных компаний, команды Cream предпочли трижды перезапустить протокол, каждый раз подвергая риску средства пользователей.
Параллельно многие фонды и протоколы создают фонды для финансирования развития экосистемы DeFi. Например, компания Avalanche объявила о создании фонда в размере 200 миллионов долларов в ноябре прошлого года.
К сожалению, безопасность, похоже, не является приоритетом для этих «фондов DeFi». Вместо того чтобы способствовать развитию и привлекательности, эти средства должны использоваться для повышения безопасности и внедрения стандартов безопасности на различных блокчейнах.