แอปพลิเคชัน DeFi สามารถต้านทานการโจมตีของแฮ็กเกอร์ได้อย่างไร

▼▼▼

Liu Feng: โคไซน์มีส่วนร่วมในการกู้คืนเงินที่ถูกขโมยของ Lendf.me (เกือบ 25 ล้านเหรียญสหรัฐ) ในช่วงไม่กี่วันที่ผ่านมา คุณช่วยเล่าประสบการณ์หลายสิบชั่วโมงให้เราฟังได้ไหม?

โคไซน์: ขั้นตอนแรกคือค้นหาสถานการณ์ภัยคุกคามและรายละเอียดการโจมตีอย่างรวดเร็วเพื่อให้สามารถระบุสาเหตุของช่องโหว่ที่ถูกต้องที่สุดได้อย่างรวดเร็ว ตัวอย่างเช่น ในเหตุการณ์นี้ ปัญหาสำคัญคือ มีช่องโหว่การโจมตีแบบย้อนกลับใน รหัสหลักของ Lendf.Me และช่องโหว่นี้ จำเป็นต้องรวมกับการรวมกันตามโทเค็น ERC777 จึงจะเกิดขึ้น หลังจากทราบลักษณะของช่องโหว่และวิธีการโจมตีแล้ว ก็เป็นเรื่องง่ายที่จะรู้ว่าผู้โจมตีขโมยทรัพย์สินไปเท่าไรในห่วงโซ่

ขั้นตอนที่สองคือการคิดเกี่ยวกับวิธีการกู้คืน ในช่วงบ่ายของวันที่ 19 เมษายน ทีมรักษาความปลอดภัยของ dForce, Xinghuo และ imToken ได้รวมตัวกันแบบออฟไลน์ และเชื่อมต่อระยะไกลกับทีมรักษาความปลอดภัยของ SlowMist เพื่อจัดตั้ง "ทีมรักษาความปลอดภัยชั่วคราว" เพื่อเริ่มการกู้คืนทรัพย์สิน เนื่องจากข้อมูลมีจำนวนมหาศาลและยุ่งเหยิง การอภิปรายแบบรวมศูนย์จึงสามารถบรรลุความสมมาตรของข้อมูลได้อย่างรวดเร็วและเร็วขึ้น

เมื่อวันที่ 20 เมษายน ตามร่องรอยที่แฮ็กเกอร์ทิ้งไว้ก่อนและหลังการโจมตี "ทีมรักษาความปลอดภัยชั่วคราว" ประสบความสำเร็จในการระบุตัวตนที่ถูกต้องของแฮ็กเกอร์ และเริ่มเปรียบเทียบข้ามกับแหล่งข้อมูลต่างๆ ทั้งในประเทศและต่างประเทศเพื่อรับเบาะแสที่ก้าวหน้า . ปิด ในช่วงบ่ายของวันที่ 21 เมษายน ภายใน 48 ชั่วโมงทอง ภายใต้แรงกดดันอย่างหนัก แฮ็กเกอร์ได้สื่อสารกับ dForce อย่างแข็งขันและเริ่มส่งคืนทรัพย์สินบางส่วน หลังจากสื่อสารกันต่อ ทรัพย์สินทั้งหมดก็ถูกกู้คืนได้สำเร็จ ซึ่งเป็นวันที่สามหลังจากการโจมตี กระบวนการนี้ไม่เพียงแต่มีบทบาทสำคัญใน "ทีมรักษาความปลอดภัยชั่วคราว" เท่านั้น แต่ยังได้รับความช่วยเหลือทั้งทางตรงและทางอ้อมจากเพื่อนมากมายในชุมชนการเข้ารหัสอีกด้วย

Liu Feng: เกี่ยวกับการโจมตี Lendf.me ทุกคนควรเรียนรู้บทเรียนอะไรบ้าง?

โคไซน์: สิ่งใหม่ๆ จะมีความเสี่ยงด้านความปลอดภัยในระหว่างกระบวนการวิวัฒนาการ นี่คือกฎของวิวัฒนาการ ยิ่งเกิดความเสี่ยงเร็วเท่าไหร่ ความเสี่ยงก็ยิ่งมากขึ้นเท่านั้น และในที่สุดมันก็จะตายหรือมีแนวโน้มที่จะเข้าสู่สมดุลที่ค่อนข้างคงที่

จากการเตรียมพร้อมทางจิตวิทยานี้ มาดู DeFi กัน มีความเสี่ยงที่สำคัญหลายประการ ได้แก่ ความเสี่ยงด้านความปลอดภัยทางเทคนิค ความเสี่ยงด้านความปลอดภัยทางธุรกิจ และความเสี่ยงด้านความปลอดภัยจากการปฏิบัติตามกฎระเบียบ มาขยายความสั้นๆ (ยกตัวอย่าง Ethereum):

1. ความปลอดภัยทางเทคนิค

ก่อนอื่น ตรวจสอบว่าเครือข่ายสาธารณะนั้นผ่านการทดสอบและปลอดภัยเพียงพอหรือไม่ และ Ethereum เป็นไปตามจุดนี้โดยพื้นฐาน จากนั้นตรวจสอบว่าการออกแบบของสัญญาอัจฉริยะนั้นปลอดภัยเพียงพอหรือไม่ Solidity ไม่เป็นที่น่าพอใจ จากนั้นตรวจสอบมาตรฐานที่เกี่ยวข้อง (เช่น เช่น ERC20, 223, 721, 777 เป็นต้น) ไม่ว่าการนำไปใช้งานจะปลอดภัยเพียงพอหรือไม่ ปัญหาใหญ่ที่สุดในที่นี้ก็คือ หลายครั้งที่ "คุณสมบัติ" จะกลายเป็น "ข้อบกพร่อง" จากนั้นดูว่ากรอบการทำงานตามมาตรฐานที่สมบูรณ์นั้นปลอดภัยหรือไม่ เช่น OpenZeppelin นั้นดีมาก ในที่สุดดูการพัฒนาของฝ่ายโครงการเป็นการยากที่จะบอกว่าแนวทางปฏิบัติด้านความปลอดภัยนั้นเข้มงวดจริง ๆ หรือไม่ เห็นได้ชัดว่าคุณภาพของการพัฒนาไม่สม่ำเสมอ

2. ความมั่นคงทางธุรกิจ

ธุรกิจขึ้นอยู่กับการออกแบบของ DeFi เช่น การให้ยืมจำนอง สินเชื่อแฟลช การทำธุรกรรม และอื่นๆ ธุรกิจต้องการการพิจารณาเป็นพิเศษเกี่ยวกับการควบคุมความเสี่ยงด้านความปลอดภัย เช่น ฉันควรทำอย่างไรหากราคาดิ่งลงหรือพุ่งสูงขึ้น วิธีจัดการกับการโอนเงินจำนวนมากอย่างกระทันหัน? วิธีแก้ปัญหาความเสี่ยงด้านความปลอดภัยจากบุคคลที่สาม (เช่น การเข้าถึงโทเค็นของบุคคลที่สาม การเชื่อมโยงกับบุคคลที่สาม ฯลฯ)

3. การปฏิบัติตามและความปลอดภัย

จะเป็นอย่างไรหากเป็น DeFi ที่มีขอบสีเทาหรือสีดำ เผลอทำตกโดยหน่วยงานบังคับใช้กฎหมายในบางประเทศ หรือหนีไปเอง

นอกจากนี้ ยังมีการเพิ่มการตัดสินพิเศษบางอย่างที่เกี่ยวข้องกับมุมมองของผู้ใช้:

1. ฝ่ายโครงการมีทีมรักษาความปลอดภัยที่แข็งแกร่งหรือบุคลากรหลักที่มีประสบการณ์ด้านความปลอดภัยมากมายในการตรวจสอบ

2. ฝ่ายโครงการได้รับการตรวจสอบโดยหน่วยงานรักษาความปลอดภัยมืออาชีพบุคคลที่สามภายในหกเดือนที่ผ่านมาและผลการตรวจสอบความปลอดภัยได้รับการเปิดเผยต่อสาธารณะ

3. ฝ่ายโครงการมีความร่วมมือระยะยาว ต่อเนื่อง และใกล้ชิดกับหน่วยงานรักษาความปลอดภัยมืออาชีพบุคคลที่สาม

4. สมาชิกหลักของกลุ่มโครงการมีทัศนคติที่ตรงไปตรงมาและเปิดกว้างต่อความปลอดภัย มีความกล้าที่จะยอมรับความผิดพลาดและให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก

5. ฝ่ายโครงการเต็มไปด้วยความเกรงขามและความเคารพต่องานด้านความปลอดภัย

จาก 5 จุดข้างต้น ข้อเท็จจริงบางอย่างสามารถขยายได้ เช่น: ปากต่อปาก จำนวนผู้ใช้จริง ความโปร่งใสของข้อมูล ความโปร่งใสด้านความปลอดภัย เป็นต้น

Liu Feng: ทุกคนยินดีที่จะใช้ผลิตภัณฑ์ DeFi เหตุผลคือพวกเขากังวลเกี่ยวกับความปลอดภัยของแพลตฟอร์มบริการทางการเงินแบบรวมศูนย์และหวังว่าจะแสวงหาความสงบสุขผ่าน DeFi อย่างไรก็ตาม ในปีนี้แพลตฟอร์มและผลิตภัณฑ์ DeFi หลายชุดถูกโจมตีซึ่งทำให้ผู้คนไม่ไว้วางใจ DeFi แทน ฉันรู้สึกเสียใจเล็กน้อย คุณคิดอย่างไร

Yu Xian: ความคิดเห็นของฉันแตกต่าง มาดูประวัติศาสตร์กัน

ดูรายละเอียดที่นี่:https://hacked.slowmist.io/

คุณจะเห็นว่ามีกรณีประวัติศาสตร์ที่ร้ายแรงมากเกี่ยวกับการรวมศูนย์และการกระจายอำนาจ แต่จริงๆ แล้วไม่จำเป็นต้องลดความเชื่อมั่นเพราะเหตุนี้ DeFi ต้องมีจุดยืนของตัวเอง แต่ DeFi ไม่ควรพยายามครอบงำโลก เช่นเดียวกัน เหมาะสำหรับ CeFi ในอนาคตน่าจะได้เห็น DeFi + CeFi ไฮบริดออกมามากขึ้น ยิ่งไปกว่านั้น DeFi ไม่จำเป็นต้องกระจายศูนย์ทั้งหมดเสมอไป นี่คือ ความเห็นส่วนตัวของฉัน

ฉันเป็นแฮ็กเกอร์ ในสายตาของฉัน สิ่งเหล่านี้ไม่ปลอดภัยอย่างแน่นอนและมีจุดอ่อนมากมาย แต่ไม่ใช่แฮ็กเกอร์ทุกคนจะเลวร้าย เราหวังว่าจะพัฒนาไปในทิศทางของความปลอดภัย แต่เมื่อเราต่อสู้ เราต้องมีความคิดเชิงรุกเพียงพอ

Liu Feng: ผู้ชมถามว่าการตรวจสอบสัญญา DeFi มีความสำคัญอย่างไร ปลอดภัยเพียงพอหรือไม่? โครงการ defi ที่ผ่านการตรวจสอบแล้วมีความน่าเชื่อถือหรือไม่?

โคไซน์: การตรวจสอบความปลอดภัยของ DeFi เป็นกลยุทธ์ความปลอดภัยชั้นที่สอง ชั้นแรกคือความปลอดภัยของการพัฒนา DeFi ซึ่งเป็นธุรกิจของฝั่งโครงการ การตรวจสอบความปลอดภัยของ DeFi สามารถหลีกเลี่ยงปัญหามากมายในชั้นที่สองและปรับปรุงระดับการป้องกันความปลอดภัยให้สูงขึ้น แต่มีชั้นที่สามหลังจากนั้นซึ่งเป็นความปลอดภัยของการดำเนินการอัปเดตซ้ำอย่างต่อเนื่องซึ่งจะเป็นปัญหาหากคุณไม่ระวัง อาจกล่าวได้ว่าโครงการที่ผ่านการตรวจสอบความปลอดภัยสามารถทำให้ผู้คนรู้สึกสบายใจมากขึ้น แต่จะต้องมีหงส์ดำ—การโจมตีจากอนาคต ดังนั้นหากการตรวจสอบความปลอดภัยใช้เวลานานกว่าครึ่งปี คุณต้องให้ความสนใจ

Liu Feng: ผู้ฟังถามว่าโปรโตคอล DeFi ที่รู้จักกันดีส่วนใหญ่มีการควบคุมจากส่วนกลางในรูปแบบใดรูปแบบหนึ่ง แม้ว่าวิธีนี้จะมีข้อดีบางประการในแง่ของความปลอดภัย เราจะป้องกันไม่ให้ผู้ดูแลระบบใช้สิทธิ์ในทางที่ผิดหรือลดความเสี่ยงที่เกี่ยวข้องได้อย่างไร

โคไซน์: นี่เป็นปัญหาตามธรรมชาติของมนุษย์ บางอย่างสามารถแก้ไขได้ด้วยเทคโนโลยี และบางอย่างก็แก้ไขไม่ได้ ในทางเทคนิค มันถูกควบคุมในลักษณะที่คล้ายกับ DAO แต่สิ่งนี้จะสร้างปัญหาใหม่ ๆ หากประสิทธิภาพของ DAO ต่ำเกินไป มันจะเป็นปัญหา แต่อย่างน้อยสิ่งหนึ่งที่ฝ่ายโครงการต้องทำคือความโปร่งใส ความโปร่งใสของสินทรัพย์ ความโปร่งใสของการอนุญาต ความโปร่งใสของการตัดสินใจ ฯลฯ เพื่อให้ชุมชนสามารถมองเห็นได้

Liu Feng: ผู้ฟังถาม มีวิธีสร้างมิดเดิลแวร์ระหว่างผู้ใช้และสัญญาไหม และมิดเดิลแวร์นี้ใช้สำหรับการประมวลผลความปลอดภัยหรือไม่

โคไซน์: ฉันไม่รู้เกี่ยวกับเรื่องนี้ ฉันต้องทดลอง แต่ฉันมีความคิดเมื่อเร็วๆ นี้ คุณสามารถดูได้:https://firewallx.io/

ไฟร์วอลล์นี้สร้างขึ้นบนเครือข่ายหลักของ EOS และแกนหลักคือการทำให้สัญญาอัจฉริยะเป็นจริง บน Ethereum นั้น ERC777 ซึ่งซับซ้อนกว่าก็อาจทำเช่นเดียวกัน แต่ก็ยังต้องได้รับการทดสอบ

Liu Feng: ผู้ฟังถามว่าปัญหาด้านความปลอดภัยของโค้ดแทบจะหลีกเลี่ยงไม่ได้ DeFi จำเป็นต้องเสริมด้วยกลไกการควบคุมความเสี่ยงที่เป็นผู้ใหญ่มากขึ้นเพื่อหลีกเลี่ยงการสูญเสียจำนวนมากหรือไม่? เนื่องจากเสน่ห์ของ DeFi คือการกระจายอำนาจและสัญญาอัจฉริยะ แต่การซ่อมแซมและกู้คืนหลังจากถูกโจมตีดูเหมือนจะเป็นเกมระหว่างผู้คน

Yu Xian: เป็นการยากที่จะกู้คืน แต่สิ่งที่น่าสนใจกว่าคืออัตราความสำเร็จอาจเพิ่มขึ้นในปีนี้ เนื่องจากกระบวนการยุติธรรมและการบังคับใช้กฎหมายของประเทศต่างๆ เริ่มสนับสนุน cryptocurrencies

ฉันรู้สึกขอบคุณเพื่อน "โชว์" มากที่เข้าร่วมในกิจกรรม Math Show #001 ในค่ำคืนนี้ และฉันยังขอบคุณผู้ก่อตั้ง SlowMist, Yu Xian ที่นำความรู้ด้านความปลอดภัยเกี่ยวกับ DeFi มาให้เรา และมีส่วนสนับสนุนการรักษาความปลอดภัยทางนิเวศวิทยาของ บล็อกเชน ฉันขอให้ Slow Mist ดีขึ้นเรื่อยๆ