DeFi и самые частые причины взлома смарт-контрактов

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

DeFi и самые частые причины взлома смарт-контрактов

Бунтов А.И.

Аннотация

Индустрия криптовалют расширяется стремительными темпами. Сегодня информационные технологии дают возможность любому пользователю воспользоваться финансовыми услугами не прибегая к привычным централизованным банковским системам. Такие «децентрализованные» системы финансовых расчетов описываются понятием DeFi (decentralized finance). Эта научно-практическая статья посвящена исследованию рисков, возникающих при пользовании комплексами DeFi.

Ключевые слова: информационные технологии, криптовалюта, DeFi, финансовая система, информационная безопасность.

Введение

DeFi -- это комплекс программных решений, обеспечивающий предоставление финансовых услуг. Система DeFI строится на следующих основных и незаменимых принципах, которые являются преимуществом этой системы:

- открытый исходный программный код;

- доступность пользователю;

- абсолютная прозрачность финансовой системы.

Функционируют DeFi на базе технологий смарт-контрактов и децентрализованных приложений (dApps), «поверх» сети блокчейн. Платформа, подобная Ethereum (Эфириум), благоприятствует инженерам в создании сложных алгоритмов, которые хранят и управляют цифровыми активами, а все финансовые операции проходят без участия третьей стороны.

Технологии блокчейн и смарт-контрактов потенциально могут конкурировать с обычной финансовой системой. Их преимущество - одинаковые возможности для каждого пользователя. В перспективе создание новых финансовых технологий станет проще, поэтому можно прогнозировать взрывной рост DeFi-платформ.

Цель статьи: Исследовать и описать возможные причины взломов смарт- контрактов при всех способах участия в финансовой системе DeFI

Обсуждение результатов

Существует несколько ключевых типов участия в DeFi: фарминг, майнинг ликвидности, раздача токенов (airdrop) и первоначальные предложения DEX (IDO).

Протоколы DeFi обеспечивают доступ и неограниченную свободу деятельности финансовым провайдерам.

Фарминг

Фарминг - это стратегия заработка криптовалюты с помощью размещения конкретной пары токенов в пуле и получением вознаграждения за предоставление ликвидности на децентрализованной онлайн-бирже (DEX) или предоставления кредитов другим пользователям.

Фарминг обеспечивает одно из основных инновационных преимуществ DeFi для получения прибыли. Большинство сетевых протоколов DeFi организованы по принципу peer-to-peer (P2P), от англ. «равный к равному» Это финансовые приложения, в которых выделенный капитал используется для оказания услуг конечным пользователям. Сборы, взимаемые с пользователей, распределяются между провайдерами капитала и протоколом. Сборы, получаемые провайдерами капитала - внутренняя доходность.

Майнинг ликвидности

Майнинг ликвидности (Liquidity mining) - размещение криптоактивов для получения прибыли от инвестиций. Это способ организации рынка, при котором биржа и эмитент токенов вознаграждает сообщество за предоставление ей ликвидности для торговых пар, в которых участвуют эти токены.

При правильном проектировании программы майнинга ликвидности являются быстрым способом получения больших объемов ликвидности за короткий промежуток времени, хотя и с уменьшением владения токенами. Эти программы также могут быть использованы для стимулирования новых пользователей к опробованию новых протоколов DeFi.

Программы майнинга ликвидности чаще всего реализуют предоставление собственной ликвидности криптовалюты с использованием базовых токенов - ETH, WBTC (биткоин) или стейблкоины, экономически привязанные к доллару США. Такие программы стимулируют создание ликвидности вокруг собственных токенов протокола и позволяют пользователям легко торговать этими токенами на децентрализованных биржах.

Раздачи токенов (Airdrops)

Airdrops - процедура раздачи токенов или NFT за элементарные операции в маркетинговой стратегии. Целью является распространение информации о продукте, монете или криптовалютной бирже. Некоторые проекты также проводят раздачу, чтобы вознаградить ранних пользователей, которые взаимодействовали с их протоколами. В каждом протоколе будут указаны критерии для определения получателей раздачи, такие как время взаимодействия и минимальное используемое количество.

Первоначальное предложение DEX (IDO)

DEX (IDO) - модель сбора средств, предлагающая лучшую ликвидность криптоактивов, более быструю, открытую и справедливую торговлю. Модель IDO - преемник моделей сбора средств ICO, STO и IEO.

Криптопроекты вынуждены проявлять нестандартный подход к стратегиям запуска и распространения токенов. С ростом популярности децентрализованных бирж проекты получили возможность напрямую взаимодействовать с конечными пользователями и не платить большие комиссии за размещение на централизованных биржах. Команды криптопроектов теперь могут размещать свои токены без необходимости получения разрешения на DEX.

К сожалению, применение DeFi сопряжено с серьезными рисками: взломы смарт- контрактов осуществляются регулярно. Никто - даже лучшие аудиторы, не в состоянии предсказать, что произойдет с работающими смарт-контрактами. Вкладывая миллиарды средств в смарт-контракты, можно быть уверенным, что самые пытливые хакеры будут стремиться найти и использовать слабые места в системе безопасности, извлекая из них выгоду.

Так как в создании проектов DeFi используется их совместимость с уже существующими, то сложность приложений DeFi растет по экспоненте и это затрудняет выявление уязвимых мест аудиторами. Создатели приложений должны обеспечить аудиторам кибербезопасности доступ для регулярной проверки новых кодов. Это необходимо для минимизации вероятности эксплойтов, учитывая то, что последствия ошибок приводят к огромным финансовым потерям.

К самым распространенным причинам взломов относятся:

1. Экономические взломы или флэш-займы

Флэш-займы дают возможность пользователям использовать практически неограниченный капитал для осуществления финансовой транзакции до тех пор, пока заемщик погашает кредит в ее рамках. Это мощный инструмент для экономических атак, причем, в отличие от предыдущих способов, не требующий наличия большого капитала. Для абсолютного большинства взломов DeFi применялись именно флэш-займы.

2. Регламент использования кода

В большинстве проектов DeFi, которыми руководит Андре Кронье, основатель Yearn Finance, тестирование кода выполняется во время создания продукта для уменьшения времени разработки. Хотя, безопасность была бы гораздо выше при проведении предварительного тестирования. Однако, проведение аудита каждого релиза серьезно увеличивает время выпуска обновлений продукта на рынок. В действительности не все проекты, особенно находящиеся на начальной стадии разработки, могут позволить себе проведение аудита. К тому же, даже многократные аудиты не гарантируют от взлома проекта хакерами.

3. Халатное кодирование и отсутствие аудита

Как правило, большинство проектных команд на рынке испытывают необходимость действовать быстро и для этого они стараются использовать путь, как можно короче. Быстрый запуск позволяет в короткие сроки выводить их продукт на рынок, но, к сожалению, скорость запуска напрямую влияет на количество ошибок в коде. Чтобы получить преимущество быть первым, некоторые команды и вовсе принимают решение пропустить аудит и делают его спустя несколько месяцев после запуска продукта. Так же, к желанию молниеносного запуска, к грехам небрежного кодирования можно прибавить использование множества "форков"- проектов, которые используют тот же код, что и другие уже хорошо функционирующие проекты. Безусловно, такие проекты рассматриваются, как средство быстрого получения денег, но и они же, так же, будут источником множества эксплойтов.

4. Анонимность

Очень часто проекты в системе DeFi генерируют анонимные команды. Есть несколько причин для подобного запуска: избежать проверок и пристального внимания регулирующих органов, потому что нормативный климат еще совершенно размыт, а вторая - их далеко не высокоморальные намерения. Известны множества случаев, когда при проведении инсайдеской работы, такие команды намеренно оставляли брешь в системе, которая впоследствии использовалась для хищения средств пользователей. Так как самая первая криптовалюта биткоин была запущена неизвестным человеком, крипто сообщество не отчуждает проекты анонимных команд. Пользователь может оценить проект на основе хорошо проработанного кода, а не по происхождению или личным качествам его разработчика. Этот принцип резонирует с принципами децентрализованного открытого программного обеспечения. К сожалению, при эксплойте протокола анонимной команды, очень велики шансы невозврата средств, поскольку очень трудно вычислить личность разработчика в реальном мире.

5. Взаимодействие с оракулом

Для корректного функционирования все протоколы DeFi обязаны знать цену активов. К примеру, чтобы решить, следует ли ликвидировать позицию заемщика, протоколу кредитования необходимо знать цену актива. Поскольку оракулы являются неотъемлемой частью инфраструктуры DeFI, они могут подвергаться серьезным манипуляциям.

смарт контракт взлом

Заключение

В работе исследовались разновидности децентрализованных финансовых систем и возникающих рисков, при их использовании. В результате исследований можно сделать следующие выводы. Открытый исходный код DeFI повышает безопасность сделки, так как пользователь имеет возможность ознакомиться и проанализировать код алгоритма. К сожалению, ошибки в коде, допущенные при запуске проектов, приводят к регулярным атакам протоколов со стороны хакерских групп. Также, помимо DDoS атак существует аспект человеческого фактора, который играет огромную роль в использовании технологии. Используя продукты финансовых технологий без участия посредника, есть вероятность допущения ошибки пользователем, которая приведет к невозможности отмены транзакции. Временами такие ошибки приводят к огромным финансовым потерям пользователя. Освоение банковской системы значительно легче. Несмотря на многочисленные преимущества использования новых технологий, большинство пользователей по-прежнему предпочитают инструменты, которые им хорошо знакомы, комфортны в использовании. И все же отдельные статистические данные за последние годы говорят о росте спроса и интереса пользователей к децентрализованной финансовой системе. Поэтому у системы DeFi наблюдается серьезный потенциал, чтобы стать удобным и массовым продуктом.

Список литературы