현재 블록체인 시장은 전반적으로 초기 단계이며, 분산 금융 (DeFi) 시장은 가장 유망한 부분입니다. DefiLlama 데이터에 따르면, 2021년 DeFi 시장은 스마트 계약에 약 200억 달러의 유동성이 잠겼습니다. 이 자본을 초기 투자로 본다면 이 시장은 매우 유망한 벤처로 보입니다. 너무 많은 글로벌 기업이 그러한 자본을 자랑할 수 없습니다. 그러나 모든 젊은 시장에는 문제가 있습니다. DeFi의 주요 문제는 자격을 갖춘 블록체인 개발자가 없다는 것입니다.
이 산업은 매우 젊고 상대적으로 작은 사용자 기반을 가지고 있습니다. 대부분의 사람들은 DeFi가 무엇인지 전혀 모른 채 기껏해야 DeFi에 대해 들어봤을 것입니다. 그러나 모든 새로운 유망한 벤처에서 발생하는 것처럼 빠르게 많은 투기적 관심을 불러옵니다. 불행히도 인력 준비는 특히 블록체인 및 스마트 계약 개발과 같은 지식 집약적 영역의 경우 훨씬 더 오래 걸립니다. 이는 일부 프로젝트 팀이 타협하고 경험이 부족한 직원을 고용해야 함을 의미합니다.
이 문제는 필연적으로 보안 허점의 위험 증가 이 프로젝트의 코드에서. 그런 다음 손실된 사용자 자본의 결과를 처리해야 합니다. 이 문제가 얼마나 큰지에 대한 간략한 이해를 위해 저는 DeFi의 전체 유동성의 약 10%가 해커에 의해 도난당했다고 말할 수 있습니다. 주류 대중이 자금에 위험을 초래하는 금융 시스템에서 멀어지는 것을 선호한다는 사실은 누구도 놀라지 않을 것입니다.
DeFi 익스플로잇은 최근에 어떻게 변경되었습니까?
DeFi에 대한 공격은 오랫동안 재진입 공격을 중심으로 이루어져 왔습니다. 우리는 유명한 것을 기억할 수 있습니다 2016년 DAO 해킹으로 인해 투자자 자본 150억 XNUMX천만 달러의 손실이 발생하고 이더리움의 하드 포크가 발생했습니다. 그 이후로 이 취약점은 다양한 스마트 계약에서 여러 번 악용되었습니다.
콜백 기능은 대출 프로토콜에 의해 적극적으로 활용됩니다. 스마트 계약을 통해 대출을 제공하기 전에 사용자의 담보 잔액을 확인할 수 있습니다. 이 모든 프로세스는 하나의 트랜잭션 내에서 발생하므로 해커는 이러한 스마트 계약에서 돈을 훔칠 수 있는 해결 방법을 제공합니다. 자금 대출 요청을 보내면 콜백 기능은 먼저 담보 잔액을 확인한 다음 담보가 충분하면 대출을 제공 한 다음 스마트 계약 내에서 사용자의 담보 잔액을 변경합니다.
스마트 계약을 속이기 위해 해커는 콜백 함수에 대한 호출을 반환하여 처음부터 이 프로세스를 시작합니다. 블록체인에서 거래가 완료되지 않았기 때문에 기능은 동일한 담보 잔액에 대해 다른 대출을 제공합니다. 이 문제에 대한 해결책이 충분히 오랫동안 현장에 나왔음에도 불구하고 많은 프로젝트가 여전히 그 피해를 입고 있습니다.
때로는 스마트 계약 작성 기술이 거의 없는 프로젝트 팀이 다른 오픈 소스 DeFi 프로젝트의 코드베이스를 차용하여 자체 스마트 계약을 배포하기로 결정합니다. 그들은 일반적으로 감사를 받고 대규모 사용자 기반을 가지고 있으며 안전하게 구축된 것으로 입증된 평판 좋은 프로젝트에서 그렇게 합니다. 그러나 그들은 원래 코드를 변경하지 않고도 스마트 계약에 원하는 기능을 추가하기 위해 빌린 코드를 약간 수정하기로 결정할 수 있습니다. 이것은 개발자가 종종 깨닫지 못하는 스마트 계약의 논리를 손상시킬 수 있습니다.
이것은 무엇인가? 해커가 약 19만 달러를 훔칠 수 있도록 허용 2021년 XNUMX월 Cream Finance에서. Cream Finance 팀은 다른 DeFi 프로토콜에서 코드를 차용하고 스마트 계약에 콜백 토큰을 추가했습니다. 자금 발행보다 균형 변경을 우선시하는 "검사, 효과, 상호 작용" 패턴을 구현하여 재진입 공격을 방지할 수 있지만 일부 팀은 여전히 이러한 악용으로부터 플랫폼을 보호하지 못합니다.
플래시 대출 공격을 통해 해커는 자금을 다른 방식으로 훔칠 수 있으며 2020년 DeFi 붐 이후 점점 더 인기를 얻고 있습니다. 플래시 대출 공격의 주요 아이디어는 재정 균형이 여전히 보장되기 때문에 프로토콜에서 자금을 빌리기 위해 담보가 필요하지 않다는 것입니다. 대출이 한 번의 거래로 이루어지고 반환된다는 사실에 의해. 그리고 한 번의 거래에서 이자를 붙인 대출금을 반환하지 않으면 발생하지 않습니다. 그러나 공격자는 많은 프로토콜에서 성공적인 플래시 대출 공격을 수행할 수 있었습니다.
관련 : 필요: 해킹 및 사기에 맞서기 위한 대규모 교육 프로젝트
이를 수행할 때, 그들은 오라클이나 유동성 풀을 통해 토큰의 가격을 증폭하고 펌프 앤 덤프를 사기 위해 사용하고 어레이의 유동성을 없애는 데 사용하는 마지막 행위까지 유동성을 빌리고 끌어오기 위해 여러 프로토콜을 사용합니다. Ether(ETH), 래핑된 비트코인(wBTC) 및 기타. 일부 유명한 플래시 대출 공격에는 다음이 포함됩니다. 팬케이크 버니 공격, 여기서 프로토콜은 200억 달러를 잃었고, 또 다른 크림 파이낸스 공격, 100억 달러 이상을 도난당했습니다.
DeFi 익스플로잇으로부터 방어하는 방법은 무엇입니까?
안전한 DeFi 프로토콜을 구축하려면 경험 많은 블록체인 개발자만 신뢰해야 합니다. 그들은 분산 응용 프로그램을 구축하는 기술을 갖춘 전문 팀 리더가 있어야 합니다. 개발을 위해 안전한 코드 라이브러리를 사용하는 것을 기억하는 것도 현명합니다. 때로는 최신 버전이 아닌 라이브러리가 최신 코드 기반을 가진 라이브러리보다 가장 안전한 옵션이 될 수 있습니다.
테스트는 또 다른 결정적인 것 모든 심각한 DeFi 프로젝트가 수행해야 합니다. 스마트 계약 감사 회사의 CEO로서 저는 항상 고객의 코드를 100% 다루려고 노력하고 제한된 액세스가 있는 스마트 계약의 기능을 호출하는 데 사용되는 개인 키의 분산된 보호의 중요성을 강조합니다. 한 엔터티가 계약을 완전히 제어할 수 없도록 하는 다중 서명을 통해 공개 키의 분산을 사용하는 것이 가장 좋습니다.
결국 교육은 블록체인 기반 금융 시스템을 보다 안전하고 안정적으로 만드는 열쇠 중 하나입니다. 그리고 교육은 실행 가능한 기여를 할 수 있는 모든 사람에게 군침 도는 보상을 제공할 수 있기 때문에 DeFi에서 고용을 찾는 사람들의 주요 관심사 중 하나여야 합니다.
이 기사에는 투자 조언이나 권장 사항이 포함되어 있지 않습니다. 모든 투자 및 거래에는 위험이 수반되며 독자는 결정을 내릴 때 자신의 연구를 수행해야합니다. 여기에 표시된 견해, 생각 및 의견은 저자의 것이며, Cointelegraph의 견해와 의견을 반드시 반영하거나 나타내는 것은 아닙니다. 드미트리 미슈닌 DeFi 보안 및 분석 회사인 HashEx의 설립자이자 CEO이며 블록체인 보안 분야에서 오랜 전문성을 보유하고 있습니다. 그는 IT 시스템, 블록체인 및 DeFi의 취약성에 대한 연구와 같은 과학 활동에 많은 시간을 할애했습니다. Dmitry의 관리 하에 HashEx는 스마트 계약 감사 분야의 리더 중 하나가 되었습니다. 출처: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi