Технические и экономические атаки DeFi
Алгыс Иевлев, СТО MixBytes, рассказал про технические и экономические атаки DeFi. Собрали ключевые тезисы его доклада ✨
DeFi-протоколы можно воспринимать как программы для поиска багов с вознаграждениями в десятки миллионов долларов. Чем больше денег блокируется в протоколах, тем больше на них обращают внимание хакеры.
⚡️ Только за 2020–2021 гг произошло порядка 30–40 крупных взломов
Стоимость атаки на DeFi-протоколы снизилась с десятков миллионов долларов до цены газа после появления flashloans, инструмента позволяющего одолжить практически любое количество выбранных токенов у какого-либо кредитного протокола без залога с условием возврата в той же транзакции.
Наибольший выхлоп при наименьших усилиях дают технические атаки, когда злоумышленник находит уязвимость в коде. Такой тип атак существует ещё с ранних дней Ethereum (хак The DAO) и до сих пор встречается довольно часто.
Одним из самых интересных и несложных хаков последнего времени была атака на протокол для страхования Cover. Разработчики иногда сохраняют некоторые переменные в кэш и при необходимости вызывают их оттуда. Это делается для экономии памяти. В случае с Cover, так хранились данные о LP-пуле, которые обновились, но в функциях продолжила использоваться устаревшая закэшированная информация. Это позволило хакеру выписать себе вознаграждение в несколько квинтиллионов токенов COVER, которые он потом сливал в пул, выкачивая из него ETH.
Экономические атаки строятся вокруг манипуляции ценой активов. При этом используется фронтран — отслеживание в мемпуле целевой транзакции, совершаемой на децентрализованной бирже и попытка отправить транзакцию, которая будет подтверждена раньше нее. Сэндвич — разновидность фронтрана, при котором целевая транзакция окружается своими транзакциями с обеих сторон. Флэшлоун — источник неограниченного заемного капитала для атакера.
Способов защититься от flashloans не так много:
Ресурсы для тех, кто хочет попробовать потренироваться искать уязвимости в смарт-контрактах:
https://github.com/OpenZeppelin/damn-vulnerable-defi
https://github.com/openblocksec/blocksec-ctfs
Аудиторским компаниям сейчас приходится нелегко из-за наплыва клиентов и отсутствия квалифицированных кадров, потому они готовят новых аудиторов на бесплатных обучающих курсах. В частности, базовый курс MixBytes длится месяц. Если есть желающие попробовать себя в этой роли, пишите в телеграм-чат или в личку @algys в Telegram.
Стандарт безопасности в DeFi на данный момент — как минимум, 3 аудита от независимых команд, при этом репутация аудиторской фирмы является их главным конкурентным преимуществом.
Хорошим аудитором может стать опытный разработчик или white hat хакер, но если нет десятка лет опыта в разработке — это не приговор. Главное дружить с математикой и уметь структурировать информацию.
>>>Презентация<<<
Cyber Academy — образовательная платформа для блокчейн-разработчиков. Присоединяйтесь к нам ✨
Анонсы | Website | Twitter | Телеграм-чат | GitHub | Facebook | Linkedin
