هذا المقال هو استمرار لهذا المنصب تغطية القضايا الأمنية في DeFi.

سنستكشف هنا بعض الاختراقات والطرق الأخرى لـ DeFi حول كيفية تجنب مشاريع DeFi الجديدة هذه المشكلات الأمنية.

صانع هاك:

في 12 مارس 2020 ، تكبدت منصة Maker ديونًا تزيد عن 8 ملايين دولار حيث تمت تصفية بعض قروضها مجانًا. بلغت حالة عدم اليقين بشأن فيروس كورونا واندلاع حرب أسعار النفط ذروتها في تراجع حاد في أسواق رأس المال. أدى ذلك إلى انهيار تام لأسواق العملات الرقمية في 12-13 مارس. انفجر نشاط المعاملات على سلسلة Ethereum blockchain مما تسبب في ازدحام الشبكة وتأخير المعاملات.

انخفضت العديد من قيم الضمانات على القروض على منصة Maker إلى ما دون العتبات مما يجعلها غير مضمونة. كان ذلك لأن المستخدمين عانوا من التأخير في محاولة إضافة المزيد من الضمانات. هذا يسمح للمصفين بالمشاركة في مزاد لتصفية القرض مقابل بعض المكافآت.

تم إطلاق 4,447 مزادًا. تسبب الازدحام في إنتاجية الشبكة على Ethereum في توقف العديد من المصفين عن العمل. نفد المصفون المتبقون في النهاية سيولة Dai ولم يتمكنوا من المزايدة إلا بعد عدة ساعات عندما قاموا بتوريد المزيد من Dai. وبالتالي ، لم تكن هناك منافسة للمزادات. مجموعة فرعية من تلك المزادات التي فاز بها مقدمو العطاءات الذين قدموا عطاءات عشرية أعلى من الصفر ("لا يقدم أي من المزايدين" "عروض صفرية").

وجد الحراس في النهاية سيولة ، وزادوا من قدرتهم ، وتخطوا الازدحام لتحدي العطاءات الصفرية لاحقًا بنجاح ، مما أعاد مساحة المزاد التنافسية.

أدت أحداث العطاء الصفري في 12-13 مارس إلى عجز في المزاد الجانبي بلغ حوالي 5.4 مليون + داي.

موازن هاك:

وقع Balancer Pool مزود السيولة DeFi ضحية لاختراق معقد استغل ثغرة ، وخداع البروتوكول لإطلاق رموز بقيمة 5,00,000،23،1 دولار. اقترض المهاجم ما قيمته 24 مليون دولار من رموز WETH ، وهي رمز مدعوم من الأثير مناسب لتداول DeFi ، في قرض سريع من dYdX. ثم تداولوا ، ضد أنفسهم ، مع Statera (STA) ، وهو رمز استثمار يستخدم نموذج رسوم التحويل ويحرق XNUMX٪ من قيمته في كل مرة يتم تداولها. ذهب المهاجم بين WETH و STA XNUMX مرة ، مما أدى إلى استنزاف تجمع سيولة STA حتى أصبح الرصيد قريبًا من لا شيء. نظرًا لأن Balancer اعتقد أنه يحتوي على نفس مقدار STA ، فقد أصدر WETH الذي يعادل الرصيد الأصلي ، مما يمنح المهاجم هامشًا أكبر لكل صفقة مكتملة. نفذ المهاجم نفس الهجوم باستخدام WBTC و LINK و SNX ، كل ذلك ضد رموز Statera.

وفقا ل تحليل بمقدار 1 بوصة ، كان الشخص الذي يقف وراء هذا الهجوم مهندس عقود ذكيًا متطورًا للغاية يتمتع بمعرفة وفهم واسعين لبروتوكولات DeFi الرائدة.

إميننس فاينانس:

في 29 سبتمبر 2020 ، تسببت تغريدة واحدة في صدمة داخل مجتمع DeFi وأدت في النهاية إلى سحب بساط بقيمة 15 مليون دولار. أجرى المطورون تجربة "اختبار في المنتج" لـ Eminence Finance ، وهو نظام بيئي لألعاب NFT. استغلها أحد المتسللين لسرقة 15 مليون دولار بعد أن هرع التجار إلى زراعة EMN. أدت تغريدة كتبها Andre Cronje ، مؤسس Yearn Finance ، إلى قيام المتداولين بالعثور على العقود والانخراط في البروتوكول ، على أمل الدخول مبكرًا في YFI التالي.

استخدم أحد المتسللين المحنكين قرضًا سريعًا لاستنزاف جميع أمواله التي لم يتم اختبارها وتأمينها بشكل صحيح. لقد استخدم القرض السريع لصك EMN على منحنى ربط ضيق لزيادة السعر. لكل EMN يتم سكها ، سيرتفع السعر تدريجياً على طول المنحنى. مع ارتفاع السعر ، أحرق المخترق EMN لأي من eTokens المغلفة - الإصدارات الأصلية لـ Eminence من رموز DeFi الشهيرة مثل Aave - للتسبب في انخفاض كبير في العرض وزيادة سعر الرمز بشكل كبير. سمحت هذه الفجوة للمتسلل بالحصول على مبالغ كبيرة من EMN ثم بيع الرموز المميزة الأخرى للحصول على أرباح متكررة في DAI.

وأوضح Cronje الاختراق في التغريدات التالية:

1 / x أولاً ، البيانات ؛

1. انتهينا بالأمس من المفهوم الكامن وراء اقتصادنا الجديد لكون ألعاب متعددة. سماحة. وفقًا لمنهجتي المعتادة ، قمت بنشر عقود التدريج الخاصة بنا على ETH حتى نتمكن من مواصلة تطويرها.

2. السماحة لا تزال على الأقل 3 + أسابيع على بعد

- أندريه كرونجي (AndreCronjeTech) 29 سبتمبر 2020

أركوبوليس:

تعرضت منصة DeFi لخرق أمني كبير ، حيث تم اختراقها مقابل 2 مليون دولار في 12 نوفمبر. تمت سرقة الأموال من منحنى أكروبوليس مجمعات سيولة مرتبطة بالمشروع. تمكن المهاجم من تنفيذ ثغرة بقيمة 50,000 دولار 40 مرة ، وحقق 2 مليون دولار من DAI في المجموع. قبل الهجوم ، خضع Akropolis لتدقيقين أمنيين أجراهما CertiK ومجموعة أمنية أخرى غير معروفة.

يُزعم أن المخترق أنشأ قرضًا سريعًا لاقتراض أموال برمز مميز مزيف في العقد الذكي الخاص بالهاكر. أثناء تحويل الأموال ، نفذ المتسلل إيداعًا آخر باستخدام مبلغ 800,000 دولار من DAI الحقيقي الذي اقترضته من dYdX. أدى القرض المميز المزيف إلى زيادة رصيد مجمع السيولة. عندما بدأ القرض الحقيقي ، سكت Akropolis نفس الرموز مرتين ، مما سمح للمتسلل بسحب ضعف المبلغ المقصود.

حادثة DeFi القيمة:

تم استغلال بروتوكول DeFi لحوالي 7.4 مليون دولار من DAI بسبب هجوم قرض سريع ، وهو مخطط غالبًا ما يُنظر إليه في قطاع DeFi. كان الحادث بسبب خطأ في طريقة قياس سعر الأصول من أوراكل القائم على AMM ، Curve.

بعد التلاعب بالأسعار على أساس القرض السريع على Curve ، أدى الاستغلال إلى رموز 3crv غير متناسبة حتى من نفس الكمية من الرموز المميزة المجمعة التي تم سكها مسبقًا. بعد السحب ، تم استبدال رموز 3crv هذه لـ DAI. أدت العملية برمتها إلى خسارة بقيمة 7.4 مليون دولار من DAI لقيمة DeFi ، تمت إعادة 2 مليون دولار من DAI إلى Value DeFi.

هاك التمويل المخلل:

في نوفمبر 2020 ، أصبح Pickle Finance أحدث مشروع DeFi يعاني من اختراق رفيع المستوى. باستخدام عيوب التصميم في عقود Pickle ، تمكن المهاجم من سرقة أكثر من 19 مليون CDAI من بروتوكول DeFi.

DODO DEX هاك:

في 8 مارس 2021 ، واجهت DODO DEX اختراقًا ذكيًا للعقد. تمكن المهاجمون من سرقة ما يقرب من 3.8 مليون دولار من العملات المشفرة من العديد من مجموعات التمويل الجماعي التابعة لـ DODO. ومن هذا المبلغ ، تمت إعادة ما يقرب من 3.1 مليون دولار من الأصول المسروقة منذ ذلك الحين.

استفاد الهجوم على العقد الذكي DODO V2 Crowdpooling من خلل في وظيفة init () للعقد. سمح هذا الخلل باستدعاء الوظيفة عدة مرات بمعلمات مختلفة. من خلال هذه العملية ، تمكن المهاجم من تجاوز فحوصات السيولة المستخدمة للتحقق من القروض السريعة. نتيجة لذلك ، تمكنوا من استنزاف السيولة من مجمعات DODO.

كانت ثغرة init () التي تم استغلالها في هذا الهجوم موجودة منذ سنوات وهي سبب العديد من الاختراقات البارزة.

حلول لمخاطر DeFi Security

هناك حاجة ماسة لعمليات تدقيق الأمان عالية الجودة قبل إطلاق أي مشروع DeFi للكشف عن نقاط الضعف غير المتكافئة وغير المتوقعة للعقود الذكية. إنه يضمن التشغيل والحماية دون انقطاع للأصل المخزن في العقد الذكي. يتم إجراء التدقيق من قبل طرف ثالث غير متحيز يقوم بمراجعة كامل التعليمات البرمجية سطرًا سطرًا ويحدد الثغرات المحتملة.

يمنح العقد الذكي الذي تم تدقيقه بدقة مزيدًا من الثقة في المستثمرين والأشخاص الآخرين في مساحة DeFi. نتيجة لذلك ، إذا تم استخدام العقد لعرض العملة الأولي (ICO) ، أو الطرح العام الأولي (IPO) ، أو عرض رمز الأمان (STO) ، فيمكن أن تكون هذه المبادرات أكثر نجاحًا.

يساعد اختبار المرحلة التجريبية الشامل والتغطية الكاملة لاختبار الوحدة أيضًا في تحديد أي مشكلات تتعلق بوظيفة المشروع. تسمح مراجعة الأقران للكود بالحصول على منظور جديد حول الكود. تطلق العديد من مشاريع DeFi برامج مكافأة الأخطاء لتشجيع المستخدمين على الإبلاغ عن أي مشاكل تم اكتشافها قبل إطلاق المنتج.

يجب أن يتجنب أي عقد ذكي لـ DeFi نسخ الكود من البروتوكولات الأخرى. ببساطة ، إذا لم يقطع المشروع بأكمله ، فإنه يحاول "احتواء" أجزاء منفصلة من الكود ، والتي غالبًا ما تكون غير متوافقة مع بقية الكود. قد يؤدي إلى بعض المآثر في المستقبل. 

من أجل منع الوصول غير الضروري إلى المفتاح الخاص أو حماية بروتوكول DeFi في حالة فقد المفتاح ، يجب أن يستخدم كود DeFi نظامًا متعدد التوقيع. لذلك في حالة فقدان المفتاح أو الوصول غير المرغوب فيه من قبل طرف ثالث ، سيكون العقد آمنًا. علاوة على ذلك ، يمكن التخلص من المفاتيح المفقودة و / أو استبدالها. 

هناك عدد متزايد من شركات الأمن والتأمين في السوق لحماية المستثمرين من هذه الهجمات.  

QuillAudits هي عبارة عن منصة تدقيق آمنة للعقود الذكية تم تصميمها بواسطة QuillHash Technologies. لقد أطلقت أداة محددة لمراقبة واستكشاف أخطاء العقود الذكية ، QuillMonitor. يساعد في تتبع سلوك المكالمات غير المصرح بها في العقد الذكي. يتم استخدامه لتحديد الشذوذ في وظائف العقود الذكية المنتشرة. العملية برمتها تخلق الثقة بين المستثمرين والمنظم. علاوة على ذلك ، يمكن استخدام هذه الأداة لتحديد العيوب غير المتوقعة في العقد ومراقبة أداء العقود.

لدى معظم شركات تدقيق DeFi قائمة انتظار لأشهر حيث يتم تطوير المزيد والمزيد من منصات DeFi وتتطلب تدقيقًا شاملاً قبل إطلاقها.

تم إطلاق منصة اختبار الحشود DVP لحل مشكلات أمان DeFi. إنه مجتمع دولي من المتخصصين في أمن المعلومات (القبعات البيضاء) الذي يسعى إلى العمل كجسر بين القبعات البيضاء ومشاريع blockchain لتوفير منصة معلومات أمان blockchain فعالة وشفافة ، مما سيساعد على تحسين الوعي الأمني ​​العام وبناء أفضل بيئة blockchain.

يدعو برنامج المكافآت الذي أطلقته DVP القبعات البيضاء لإجراء اختبارات مكثفة لمنتجات blockchain. ستعطي مراجعتهم للمصنعين فكرة حول اتجاه المشروع. في المقابل ، يمكنهم المطالبة بمكافآت رمزية بينما يوفر المصنعون التكاليف ، مما يسهل وضعًا مربحًا للطرفين. بائعي blockchain المشهورين مثل Gate.io و Cobo و F2pool و Vechain و Coinw و Kcash و Contentos و Neo هم بعض الأنظمة الأساسية للاستفادة من الخدمات التي يقدمها مجتمع DVP. في المستقبل ، ستقدم DVP الدعم الشامل لنظام BSC (سلسلة Binance الذكية) DeFi. انضمت DVP إلى مجتمعات الأمان الكبرى في العالم مثل PeckShield و BCSES ، وقد نمت لتصبح مجتمعًا تقنيًا كبيرًا بدعم من أكثر من 15000 White Hats.

أصدرت شركة OpenZeppelin ، وهي برنامج للعملات المشفرة والأمان ، مجموعة برامج لمشاريع DeFi التي تكافح هجمات القروض السريعة وغيرها من المآثر. ديفندر عبارة عن مجموعة برامج توفر للفرق تنبيهات عند حدوث استغلال ، بالإضافة إلى نصوص آلية للرد على هذا الاستغلال في الوقت الفعلي. تم تطوير Defender بالتعاون مع Compound Labs و Aave و dYdX و PoolTogether و Balancer و Foundation Labs وفرق رائدة أخرى. من المتوقع أن يقلل من مساحة الخطأ البشري ، مما يجعل إدارة العقود الذكية بسيطة وآمنة.

Certora هو بروتوكول آخر يوفر التحقق الرسمي لرمز العقد الذكي. يقوم بكتابة المواصفات بناءً على مجموعة من قواعد السلامة التي يوفرها منتج DeFi والتحقق من الكود مقابل هذه المواصفات. لقد نفذت التحقق من العقود الذكية في منصات DeFi مثل بروتوكول الإقراض dForce ، رمز Origin OUSD المميز ، Sushi Bentobox ، بروتوكول Opyn Gemma ، قروض Synthetix متعددة الضمانات ، بروتوكول Aave v2 من بين أمور أخرى.

MythX هو منتج أمان تقدمه شركة Consensys. يوفر خدمات أمان العقد الذكية لـ Ethereum. يستخدم MythX سجل SWCR كقاعدة بيانات عند فحص العقود الذكية بحثًا عن مشكلات الأمان. سجل SWC عبارة عن كتالوج مجتمعي لنقاط الضعف المعروفة في العقود الذكية مع الأوصاف التفصيلية وعينات التعليمات البرمجية والعلاجات

استشاري للمستخدمين

تتطلب منتجات DeFi العناية الواجبة قبل القيام بأي استثمار. يجب على المستخدمين التحقق من الورقة البيضاء للمشروع ، والفريق ، ونشاط المجتمع ، وقوائم التبادل ، وعدد عمليات تدقيق الأمان. سيعطي الدعم من المستثمرين المؤسسيين للمستخدمين فكرة أوضح بكثير عما إذا كان يتعين عليهم إجراء استثمار أم لا.