Веб 3.0 - это децентрализованный интернет, который предполагает использование децентрализованных протоколов, развернутых на блокчейне и выполняемых виртуальными машинами. Эти децентрализованные приложения называются смарт-контрактами.
Использование Веб 3.0 в значительной степени связано с деньгами в форме криптовалют через рынки DeFi и NFT. Финансовые приложения Веб 3.0 на сегодняшний день являются ключевыми. В конце концов, для каждой транзакции вам необходимо потратить некоторое количество криптовалюты, чтобы заплатить майнерам и валидаторам за их услуги по обработке вашей транзакции.
Но когда у вас есть система, предназначенная для работы с денежными потоками, вам нужно, чтобы она была надежно построена. Но Web 3.0 в настоящее время находится на самой ранней стадии развития и больше похож на экспериментальное тестирование, чем на надежную технологию. И, как это характерно для большинства новых цифровых технологий, безопасность является одной из основных проблем Web 3.0. Тем не менее, она уже получила значительный венчурный капитал, привлеченный заманчивыми вознаграждениями.
А каждое новое технологическое предприятие, в которое вложены большие деньги и которое имеет ряд незакрытых лазеек, естественно, становится приманкой для хакеров, готовых использовать их для собственной финансовой выгоды. Кроме того, децентрализованный характер Web 3.0 и отсутствие необходимости предоставлять свои личные данные делают его еще более привлекательным для киберпреступников.
А размер инвестиций - лучший показатель потенциала отрасли. Таким образом, можно с уверенностью сказать, что Web 3.0 обладает хорошим потенциалом, часть которого, вероятно, остается неиспользованной. Чтобы поддержать его развитие, необходимо повысить стандарты безопасности.
Интересное: Стабильные монеты могут укрепить доллар США в качестве мировой резервной валюты
Каковы основные угрозы безопасности DeFi?
Существующие на сегодняшний день угрозы, связанные с кибератаками на Web 3.0, можно разделить на две группы - уязвимости в коде и уязвимости в бизнес-логике смарт-контрактов. К первой группе относятся эксплойты виртуальных машин, перегрузки mempool и атаки reentrancy. Они построены на эксплуатации функций и порядка выполнения их команд.
По сути, эти эксплойты не повреждают децентрализованное программное обеспечение в традиционном смысле, как это происходит при атаках на централизованные ИТ-инфраструктуры и персональные компьютеры. Они просто используют возможности, которые были непреднамеренно предоставлены программистами.
Это может происходить по-разному. Часто разработчики используют кодовую базу других проектов с открытым исходным кодом, но при этом вносят в нее некоторые изменения, которые могут показаться незначительными и не влияющими на то, как будет работать смарт-контракт. Однако в итоге они могут оказаться неправы, поскольку эти изменения могут непредвиденным образом повлиять на механизмы работы смарт-контракта.
Атаки реентерабельности вошли в историю блокчейна как один из классических видов атак децентрализованных протоколов. Они нацелены на так называемую функцию обратного вызова и функции в контракте, использующие ее остатки. Эта функция используется в смарт-контрактах протоколов кредитования, поскольку она необходима для отслеживания залога пользователя на платформе и расчета суммы средств, которую он может занять.
Когда пользователь берет средства в долг, он обращается к "функции обратного вызова", которая проверяет баланс пользователя в контракте и выдает соответствующую сумму ликвидности в качестве займа. Этот процесс состоит из трех операций - проверка баланса пользователя, расчет баланса пользователя после выдачи кредита и собственно выдача кредита.
Интересное: Автоматизированная торговля: Позволили бы вы боту управлять вашей криптовалютой?
В зависимости от порядка выполнения этих операций в функции обратного вызова может быть найден способ обмануть систему и взять больше ликвидности, чем позволяет ваш залог.
Сначала идет проверка баланса, а затем либо выдача кредита, либо расчет измененного баланса. Если сначала выдается кредит, а в конце последовательности кода есть обратный вызов, это позволяет пользователю начать процесс с самого начала, в то время как эта транзакция не добывается и не добавляется в блокчейн.
Например, у вас есть залог в 200 долларов и вы берете кредит на 100 долларов под 100 долларов вашего залога. Если кредит выдан первым и вы запрашиваете обратный вызов до того, как последствия ваших действий будут окончательно зафиксированы в блокчейне, вы можете взять еще один кредит на неизменную сумму залога. Эта процедура может занять несколько итераций и позволить пользователю лишить контракт ликвидности.
Способ защиты контракта от этой киберугрозы называется паттерном "проверка-эффект-взаимодействие". Этот паттерн ставит расчет баланса пользователя в контракте перед выдачей средств. Однако этот простой шаблон работает для атак реентерабельности на саму функцию обратного вызова, а вот от межфункциональных атак реентерабельности защититься сложнее.
Однако атаки на реентерабельность становятся все менее регулярными, поскольку новые фреймворки разрабатываются для их устранения. В настоящее время хакеры DeFi больше сосредотачивают свои усилия на эксплуатации несоответствий в бизнес-логике смарт-контрактов, часто используя множество протоколов для кражи средств из одного. Такие атаки часто затрагивают сервисы flash-кредитования, позволяющие взять кредит без предоставления залога.
Интересное: Обзор рынка: Биткоин, ETH растут после завершения худшего месяца
Одна из крупнейших атак на flash-кредиты была совершена на Cream Finance в декабре 2021 года. В результате атаки были похищены криптовалюты и токены на сумму 130 миллионов долларов. В атаке участвовали два адреса, которые использовали такие платформы флеш-кредитования, как MakerDAO, AAVE, Yearn.finance и Curve, чтобы вывести средства из Cream Finance.
В итоге злоумышленник воспользовался лазейкой в PriceOracleProxy, оценивающем цену cryUSD - стейблкоина Cream, привязанного к доллару США. PriceOracleProxy оценивает цену cryUSD на основе цены стабильного монеты yUSDVault (стабильной монеты Yearn.finance), хранящейся в yUSD Yearn Vault.
Проделав множество манипуляций с ликвидностью, одолженной у MakerDAO, злоумышленник добавил восемь миллионов yUSD к восьми миллионам yUSDVault. Cream Finance PriceOracleProxy воспринял это как то, что yUSDVault теперь стоит 2 доллара вместо одного, и удвоил цену cryUSD.
Таким образом, злоумышленник получил $3 млрд в 1,5 млрд cryUSD, которые были добыты из $1,5 млрд yUSDVault. Это позволило злоумышленнику выплатить кредит, проценты и использовать оставшийся $1 млрд для лишения Cream Finance ликвидности на сумму $130 млн.
Интересное: Институциональный интерес к шортингу биткоина поднимается до рекордного уровня в США (отчет)
Что ждет Web 3.0 в будущем
Чтобы сделать Web 3.0 более безопасным, необходимо повысить стандарты безопасности. Для этого необходимы компетентные кадры для создания Web 3.0 с нуля и квалифицированные специалисты по безопасности, работающие в компаниях Web 3.0. Пока DeFi и другие субъекты Web 3.0 несут в себе высокий уровень риска, ожидать, что основная масса населения примет Web 3.0, неразумно. Чтобы это произошло быстрее, мы также можем перенять лучшие практики безопасности у CeFi и внедрить их в децентрализованные системы.
💰Зарегистрируйтесь по ссылке на Binance и получите 😱 10% кэшбек с комиссий!
#криптовалюты #биржа #биткоин #инвестиции #финансы
