ในพริบตาเดียว ฉันอยู่กับ CertiK เป็นปีที่ 5 อย่างไรก็ตาม หลังจากอ่านรายงานการตรวจสอบนับพันฉบับ บางครั้ง เราสามารถบอกได้ว่าโค้ดของโครงการมีคุณภาพสูงหรือไม่โดยดูที่รายงานการตรวจสอบ จากนั้นตัดสินว่าความปลอดภัยของรหัสโครงการเป็นไปตามมาตรฐานตามระดับความเสี่ยงและจำนวนในรายงานการตรวจสอบหรือไม่

อย่างไรก็ตามในปีที่ผ่านมา โค้ดของหลาย ๆ โครงการค่อนข้างสมบูรณ์และปลอดภัย แต่มีความเสี่ยงที่สำคัญอยู่ที่การรวมศูนย์

ดังนั้นสำหรับโครงการที่มีความเสี่ยงนี้ หากโค้ดทำงานได้ดีในด้านอื่นๆ เราจะตัดสินได้อย่างไรว่าคุณภาพของโค้ดนั้นมีคุณภาพสูงหรือไม่

โครงการดังกล่าวคิดเป็นส่วนใหญ่ของบันทึกการตรวจสอบก่อนหน้านี้——จากรายงานการตรวจสอบ 1,737 รายการในปี 2021 ตาม CertiK มีโครงการมากถึง 286 โครงการที่มีความเสี่ยงจากการรวมศูนย์ ซึ่งคิดเป็นเกือบ 17%

รายงานความปลอดภัยของอุตสาหกรรม DeFi ประจำปี 2564รายงานความปลอดภัยของอุตสาหกรรม DeFi ประจำปี 2564] ชี้ให้เห็นว่า:สาเหตุที่พบบ่อยที่สุดสำหรับการแฮ็กในปี 2021 คือความเสี่ยงจากการรวมศูนย์ จากเหตุการณ์การแฮ็ก DeFi 44 ครั้ง ทำให้สูญเสียทรัพย์สินทั้งหมดสูงถึง 1.3 พันล้านดอลลาร์สหรัฐ!

ชื่อเรื่องรอง

https://certik-2.hubspotpagebuilder.com/the-state-of-defi-security-2021-chinese

ความเสี่ยงจากการรวมศูนย์คืออะไร?

ทุกคนควรมีความชัดเจน: ความสำคัญของบล็อกเชนอยู่ที่การกระจายอำนาจ ความเป็นนิรนาม และความโปร่งใส

ในหมู่พวกเขา การกระจายอำนาจเป็นหัวใจสำคัญที่โดดเด่นที่สุดของ DeFi, DAO และแม้แต่โลกที่เข้ารหัสทั้งหมด

จากคำจำกัดความ - ผลการค้นหา Baidu Encyclopedia มีดังนี้ ในระบบที่กระจายด้วยหลายโหนด แต่ละโหนดจะมีลักษณะของความเป็นอิสระในระดับสูง โหนดสามารถเชื่อมต่อกันได้อย่างอิสระเพื่อสร้างหน่วยเชื่อมต่อใหม่ โหนดใด ๆ อาจกลายเป็นศูนย์แบบค่อยเป็นค่อยไป แต่ไม่มีฟังก์ชันควบคุมส่วนกลางที่บังคับ ปรากฏการณ์หรือโครงสร้างของระบบที่เปิดกว้าง ราบเรียบ และเท่าเทียมกันนี้เรียกว่าการกระจายอำนาจ

ความเสี่ยงของการรวมศูนย์ในระดับนี้เพียงอย่างเดียวจะเบี่ยงเบนไปจากความตั้งใจเดิมของการสร้างฟิลด์เข้ารหัส

หัวใจของความเสี่ยงในการรวมศูนย์คือความล้มเหลวเพียงจุดเดียวภายในโปรโตคอล DeFi — สัญญาอัจฉริยะที่มีเจ้าของรวมศูนย์นั้นมีความเสี่ยงมากกว่าสัญญาที่มีการล็อกเวลาหรือการเป็นเจ้าของคีย์แบบหลายลายเซ็น

เมื่อความเสี่ยงนี้ถูกใช้โดยผู้โจมตีที่ประสงค์ร้าย การสกัดแบบไม่จำกัด การดึงพรม และการโจมตีประเภทอื่นๆ จะตามมา

หากสัญญาของคุณมีช่องโหว่ ตราบใดที่ผู้โจมตีสามารถรับคีย์ส่วนตัวของสัญญาได้ เขาสามารถขายต่อโทเค็นจำนวนนับไม่ถ้วนและมอบให้ใครก็ได้ที่เขาต้องการ

เห็นได้ชัดว่าวิธีการโจมตีนี้เป็นเพียงสิ่งประดิษฐ์สำหรับพิมพ์เงินสำหรับเจ้าของโครงการ และแน่นอนว่าบางโครงการจะกลายเป็นเครื่องเอทีเอ็มสำหรับแฮ็กเกอร์คนอื่นๆ

วิธีการโจมตีทั่วไปอีกวิธีหนึ่งคือ Rug Pull ซึ่ง CertiK เพิ่งเปิดตัวเพื่อวิเคราะห์การโจมตีของ BabyMuskเป็นกรณีทั่วไป

ในวิธีการโจมตีนี้ เจ้าของโครงการบางรายขายโทเค็นทั้งหมดที่พวกเขาถืออยู่อย่างประสงค์ร้ายเพื่อใช้สภาพคล่องของการแลกเปลี่ยนแบบกระจายอำนาจ นอกจากนี้ยังมีเจ้าของโครงการบางรายที่ขโมยโทเค็นจากสัญญาโดยตรง เช่น โครงการสัญญาที่ล็อกไว้ล่วงหน้า

ชื่อเรื่องรอง

กรณีทั่วไป

โปรโตคอล DeFi bZx ถูกโจมตีอย่างมุ่งร้ายในเดือนพฤศจิกายน 2564 เนื่องจากการจัดการคีย์ส่วนตัวที่ไม่ดี ทำให้สูญเสียเงินมากถึง 55 ล้านดอลลาร์สหรัฐ

คีย์ส่วนตัวของสัญญาโครงการไม่ได้ใช้หลายลายเซ็น และผู้โจมตีสามารถควบคุมคีย์ส่วนตัวได้อย่างง่ายดายผ่านอีเมลฟิชชิ่ง ความเสี่ยงจากการรวมศูนย์นี้ทำให้ผู้โจมตีสามารถควบคุมสัญญาทั้งหมดที่จัดการโดยคีย์ส่วนตัวนั้นได้อย่างสมบูรณ์

ชื่อเรื่องรอง

จะลดความเสี่ยงจากการรวมศูนย์ได้อย่างไร?

จะลดความเสี่ยงจากการรวมศูนย์ได้อย่างไร?

การตรวจสอบสัญญาอัจฉริยะเป็นขั้นตอนแรกและจำเป็นในการระบุความเสี่ยงจากการรวมศูนย์

ผ่านการตรวจสอบสัญญาอัจฉริยะ ความเสี่ยงของการรวมศูนย์ในรหัสโครงการสามารถระบุได้ทันเวลา แต่การตรวจสอบเพียงอย่างเดียวไม่เพียงพอ และการแก้ไขรหัสที่ตามมาก็มีความสำคัญเช่นกัน

ในหลายกรณี ปัญหาที่พบโดยผู้เชี่ยวชาญด้านความปลอดภัยและคำแนะนำในการแก้ไขจะถูกละเลยโดยเจ้าของโครงการ....

พฤติกรรมเหล่านี้เป็นเพียงการเรียกหาแฮ็กเกอร์: มาเลย ฉันมีเงินให้คุณ!

CertiK จัดประเภทความเสี่ยงที่พบในการตรวจสอบออกเป็น 5 ระดับ ได้แก่ วิกฤต สำคัญ ปานกลาง เล็กน้อย และให้ข้อมูล

เราได้กล่าวไว้ข้างต้นว่าความเสี่ยงจากการรวมศูนย์เป็นของระดับความเสี่ยงหลัก ซึ่งหมายความว่าภายใต้สถานการณ์บางอย่าง ความเสี่ยงนี้อาจนำไปสู่การสูญเสียเงินทุนและ/หรือการควบคุมโครงการ อาจไม่ส่งผลกระทบต่อการทำงานของแพลตฟอร์มอย่างมีนัยสำคัญ แต่ก็เป็นหนึ่งในความเสี่ยงสูงที่ต้องได้รับการแก้ไข

ในฐานะผู้นำด้านความปลอดภัยของบล็อกเชน CertiK มุ่งมั่นที่จะปรับปรุงความปลอดภัยและความโปร่งใสของสกุลเงินดิจิทัลและ DeFi จนถึงตอนนี้ CertiK ได้รับการยอมรับจากลูกค้าองค์กร 2,500 ราย ปกป้องทรัพย์สินดิจิทัลมูลค่ากว่า 311 พันล้านดอลลาร์จากการสูญหาย

ในฐานะผู้นำด้านความปลอดภัยของบล็อกเชน CertiK มุ่งมั่นที่จะปรับปรุงความปลอดภัยและความโปร่งใสของสกุลเงินดิจิทัลและ DeFi จนถึงตอนนี้ CertiK ได้รับการยอมรับจากลูกค้าองค์กร 2,500 ราย ปกป้องทรัพย์สินดิจิทัลมูลค่ากว่า 311 พันล้านดอลลาร์จากการสูญหาย