ผู้เขียนต้นฉบับ: BlockSec
การแนะนำ
ในขณะที่การพัฒนา DeFi ยังคงปรับโฉมภูมิทัศน์ทางการเงิน การรักษาความปลอดภัยถือเป็นความท้าทายที่สำคัญที่ระบบนิเวศ DeFi ต้องเผชิญมาโดยตลอด ปัญหาด้านความปลอดภัยทำให้เกิดการสูญเสียสินทรัพย์หลายพันล้านดอลลาร์ทุกปี
จากข้อมูลของ Chainalysis การโจมตีด้วยการแฮ็ก DeFi ส่งผลให้เกิดการสูญเสียทรัพย์สินมากกว่า 1.1 พันล้านดอลลาร์ในปี 2566 แม้ว่าตัวเลขนี้จะลดลงจากปี 2022 แต่แนวโน้มการโจมตี DeFi ใหม่ก็ได้เกิดขึ้นในปี 2023 ตัวอย่างเช่น โปรโตคอลที่รู้จักกันดีบางตัวที่ทำงานอย่างปลอดภัยมาเป็นเวลานาน เช่น Curve และ KyberSwap ก็ถูกโจมตีเช่นกัน นอกจากนี้ ยังมีการโจมตีที่ซับซ้อนซึ่งมุ่งเป้าไปที่ช่องโหว่ของโครงสร้างพื้นฐาน เช่น Flashbots Relay อีกด้วย
ข้อมูล Security Incident Dashboard แสดงให้เห็นว่าในช่วงครึ่งแรกของปี 2024 มีการโจมตีของแฮ็กเกอร์มากกว่า 50 ครั้ง ทำให้เกิดความเสียหายมากกว่า 100,000 ดอลลาร์
การโจมตีของแฮ็กเกอร์ล่าสุด (ที่มา: Security Incident Dashboard)
🔗 https://app.blocksec.com/explorer/security-incidents
การรักษาความปลอดภัยเป็นสิ่งสำคัญต่อการพัฒนาโปรโตคอล DeFi โปรโตคอลบางตัวจัดการทรัพย์สินของผู้ใช้มูลค่าหลายพันล้านดอลลาร์ และเหตุการณ์ด้านความปลอดภัยอาจทำให้ผู้ใช้สูญเสียอย่างมีนัยสำคัญ แม้ว่าในบางกรณีเงินที่ถูกขโมยไปสามารถกู้คืนได้ (บางส่วน) (เช่นการโจมตีของออยเลอร์) แต่เราไม่สามารถฝากความหวังไว้กับสิ่งนี้ได้ทั้งหมด ทุกเหตุการณ์การโจมตีทำให้ความมั่นใจของผู้ใช้ใน DeFi ลดลง
แม้ว่าอุตสาหกรรมได้เสนอมาตรการมากมายเพื่อปรับปรุงความปลอดภัย แต่ก็ยังเหลือพื้นที่อีกมากสำหรับการปรับปรุงความปลอดภัยของ DeFi ในด้านบวก การตรวจสอบโค้ดได้กลายเป็นความเห็นพ้องต้องกันของชุมชน และโปรโตคอลส่วนใหญ่จะได้รับการตรวจสอบก่อนที่จะออนไลน์ ซึ่งจะช่วยลดความเสี่ยงของการโจมตีที่เกิดจากช่องโหว่ของสัญญาอัจฉริยะ อย่างไรก็ตาม การตรวจสอบโค้ดเพียงอย่างเดียวยังไม่เพียงพอที่จะแก้ไขปัญหาด้านความปลอดภัยทั้งหมดได้ การตรวจสอบโค้ดไม่สามารถป้องกันการโจมตีที่เกิดจากช่องโหว่ที่เกิดจากการอัพเกรดสัญญา การเปลี่ยนแปลงการกำหนดค่า และการพึ่งพาภายนอก ด้วยข้อจำกัดเหล่านี้ โปรโตคอลบางตัวจึงเริ่มปรับใช้โซลูชันเชิงรุกมากขึ้น เช่น ระบบตรวจสอบการปฏิบัติงานและตรวจจับการโจมตี
ในบทความนี้ เราจะมาดูภาพรวมของมาตรการรักษาความปลอดภัยที่โปรโตคอลสามารถทำได้ตั้งแต่ขั้นตอนก่อนการเปิดตัว หลังการเปิดตัว และการตอบสนองการโจมตี เพื่อทำความเข้าใจภาพรวมความปลอดภัยของ DeFi เราจะพิจารณาโครงการริเริ่มด้านความปลอดภัยแต่ละประเภทอย่างละเอียดยิ่งขึ้น รวมถึงผู้จำหน่าย/ผลิตภัณฑ์หลัก ตลอดจนข้อดีและข้อเสีย ฉันหวังว่าบทความนี้จะช่วยให้ชุมชนเข้าใจสถานะปัจจุบันของการรักษาความปลอดภัย DeFi ได้ดีขึ้น และสร้างแรงบันดาลใจให้กับโซลูชั่นความปลอดภัยที่เป็นนวัตกรรมใหม่
พาโนรามาการรักษาความปลอดภัย DeFi
มาตรการรักษาความปลอดภัยของโปรโตคอล DeFi ควรดำเนินการตลอดวงจรชีวิตของโปรโตคอลตั้งแต่ก่อนเปิดตัวจนถึงหลังเปิดตัว เพื่อให้มั่นใจในความปลอดภัยของโปรโตคอลเองและระหว่างการดำเนินการ จำเป็นอย่างยิ่งที่จะต้องมีมาตรการป้องกันและแผนตอบโต้สำหรับการโจมตีที่อาจเกิดขึ้น เพื่อช่วยให้ผู้อ่านเข้าใจได้อย่างชัดเจนว่าโซลูชั่นรักษาความปลอดภัย DeFi ใดบ้างที่มีอยู่ในปัจจุบัน เราได้แบ่งผู้จำหน่าย (ผลิตภัณฑ์) ที่เกี่ยวข้องออกเป็นหมวดหมู่ต่อไปนี้
การรักษาความปลอดภัยก่อนการเปิดตัว
มาตรการรักษาความปลอดภัยที่สามารถทำได้ก่อนที่โปรโตคอลจะออนไลน์ ได้แก่ การตรวจสอบรหัส การตรวจสอบอย่างเป็นทางการ และการทดสอบความปลอดภัย
บริการตรวจสอบรหัสและการแข่งขัน
การตรวจสอบโค้ดเป็นแนวทางปฏิบัติที่ชุมชนยอมรับในการรับรองความปลอดภัยของโปรโตคอล ในระหว่างกระบวนการนี้ บริษัทรักษาความปลอดภัยจะดำเนินการตรวจสอบโค้ดที่ถูกแช่แข็งแบบกึ่งอัตโนมัติ กล่าวคือ สแกนช่องโหว่ทั่วไปในโค้ดโดยอัตโนมัติ จากนั้นจึงตรวจสอบช่องโหว่ที่ซับซ้อนด้วยตนเอง เช่น OpenZeppelin, ChainSecurity, BlockSec เป็นต้น
นอกจากนี้ยังมีเวทีการแข่งขันการตรวจสอบ แตกต่างจากบริษัทตรวจสอบที่ให้บริการตรวจสอบโดยตรง แพลตฟอร์มเหล่านี้เผยแพร่ข้อกำหนดการตรวจสอบต่อสาธารณะ ดึงดูดนักวิจัยด้านความปลอดภัยในชุมชนให้เข้าร่วมการแข่งขันการตรวจสอบ และจัดสรรรางวัลให้กับผู้เข้าแข่งขันที่ค้นพบช่องโหว่ของโปรโตคอล แพลตฟอร์มการแข่งขันการตรวจสอบ ได้แก่ Code 4 rena, SHERLOCK, Cantina, Secure 3 ฯลฯ แต่ละแพลตฟอร์มมีความแตกต่างในระดับความรุนแรงของช่องโหว่ รางวัลการแจกจ่าย และเกณฑ์การมีส่วนร่วม
การตรวจสอบโค้ดเป็นด่านแรกในการป้องกันความปลอดภัยของโปรโตคอล อย่างไรก็ตาม มันก็มีข้อจำกัดบางประการด้วย ซึ่งเป็นเหตุผลว่าทำไมโปรโตคอลจำนวนมากที่ได้รับการตรวจสอบโดยบริษัทที่มีชื่อเสียงจึงยังไม่ปลอดภัยจากแฮกเกอร์
ประการแรก การตรวจสอบโค้ดแบบคงที่ไม่สามารถแก้ไขปัญหาด้านความปลอดภัยที่เกิดจากการขึ้นต่อกันของโปรโตคอล ซึ่งรุนแรงขึ้นจากความสามารถในการรวมโปรโตคอล DeFi
ประการที่สอง ในระหว่างกระบวนการตรวจสอบโค้ด ปัญหาบางอย่างไม่ได้รับความสนใจเพียงพอ ตัวอย่างเช่น การสูญเสียความแม่นยำเป็นปัญหาทั่วไปที่ผู้ตรวจสอบและฝ่ายในข้อตกลงไม่อาจสังเกตเห็นได้ จนกระทั่งเหตุการณ์ Hundred Finance และ Channels Finance ชุมชนได้ตระหนักอย่างเต็มที่ถึงผลกระทบด้านความปลอดภัยของการสูญเสียความแม่นยำ
สุดท้ายนี้ การตรวจสอบโค้ดคุณภาพสูงยังคงเป็นทรัพยากรที่หายาก โดยต้องใช้ผู้มีความสามารถแบบสหวิทยาการที่มีความรู้ด้านความปลอดภัย การเงิน และวิทยาการคอมพิวเตอร์ ซึ่งมหาวิทยาลัยเพียงไม่กี่แห่งในปัจจุบันเปิดสอนบนพื้นฐานที่ยั่งยืนและในวงกว้าง ดังนั้นแม้มีการตรวจสอบข้อตกลงบางประการ แต่ความเป็นมืออาชีพของผู้ตรวจสอบบัญชีที่ให้บริการตรวจสอบยังไม่เพียงพอ
การตรวจสอบอย่างเป็นทางการ
“การตรวจสอบอย่างเป็นทางการใช้วิธีการทางคณิตศาสตร์เพื่อพิสูจน์ความถูกต้องหรือไม่ถูกต้องของระบบตามข้อกำหนดหรือคุณสมบัติที่เป็นทางการ” การตรวจสอบอย่างเป็นทางการสามารถรับประกันได้ว่าพฤติกรรมของโปรโตคอล DeFi สอดคล้องกับข้อกำหนดอย่างเป็นทางการ ตัวอย่างเช่น Prover ซึ่งพัฒนาโดย Certora สามารถตรวจสอบโปรโตคอล DeFi ได้อย่างเป็นทางการ นักพัฒนาจัดเตรียมกฎ (ข้อกำหนด) และ Prover จะสำรวจทุกสถานะของโปรแกรมที่เป็นไปได้ เปรียบเทียบผลลัพธ์กับกฎ และระบุช่องโหว่
ข้อได้เปรียบที่ใหญ่ที่สุดของการตรวจสอบอย่างเป็นทางการคือความสามารถในการพิสูจน์ความถูกต้องทางคณิตศาสตร์ของโปรโตคอล DeFi ที่จัดการสินทรัพย์หลายพันล้านรายการ อย่างไรก็ตาม ข้อจำกัดหลายประการในการใช้งานจริงเป็นอุปสรรคต่อการนำไปใช้อย่างแพร่หลาย
ขั้นแรก นักพัฒนาจำเป็นต้องจัดเตรียมข้อกำหนด ซึ่งกำหนดให้นักพัฒนาต้องมีเอกสารโดยละเอียดเกี่ยวกับลักษณะการทำงานที่คาดหวังของโปรโตคอล และนักพัฒนาส่วนใหญ่ไม่ใช่ผู้เชี่ยวชาญในด้านนี้
ประการที่สอง การอัพเกรดโปรโตคอลบ่อยครั้งอาจต้องมีการอัปเดตข้อมูลจำเพาะและการประเมินโปรโตคอลอีกครั้ง และโปรโตคอลบางตัวอาจไม่สามารถทุ่มเทเวลาและพลังงานได้มากนัก
แม้จะมีข้อจำกัดเหล่านี้ แต่เรายังคงเชื่อว่าโปรโตคอลควรได้รับการตรวจสอบอย่างเป็นทางการ โดยเฉพาะโปรโตคอลใหม่ที่ยังไม่ผ่านการทดสอบตามเวลาและจัดการเนื้อหาผู้ใช้จำนวนมาก อย่างไรก็ตาม วิธีเพิ่มประสิทธิภาพการทำงานของการตรวจสอบยืนยันอย่างเป็นทางการและเพิ่มอัตราการนำไปใช้ยังคงเป็นความท้าทายที่ยิ่งใหญ่ในปัจจุบัน
การทดสอบความปลอดภัย
การทดสอบความปลอดภัยใช้กรณีทดสอบเพื่อค้นหาปัญหาที่อาจเกิดขึ้นในโปรโตคอล เมื่อเปรียบเทียบกับการตรวจสอบอย่างเป็นทางการที่พิสูจน์ความถูกต้องของโปรโตคอลด้วยวิธีการทางคณิตศาสตร์ โดยทั่วไปการทดสอบความปลอดภัยจะใช้ข้อมูลอินพุตเฉพาะ (แทนที่จะใช้ข้อมูลเชิงสัญลักษณ์ในการตรวจสอบอย่างเป็นทางการ) ดังนั้นจึงมีประสิทธิภาพมากกว่า แต่ก็ครอบคลุมน้อยกว่าเล็กน้อย
Foundry เป็นเฟรมเวิร์กการพัฒนาและทดสอบสัญญาอัจฉริยะที่ได้รับความนิยม นักพัฒนาสามารถทำการทดสอบใน Foundry และยังสามารถทำการทดสอบส่วนต่าง การทดสอบความแปรปรวน และการทดสอบส่วนต่างบนโปรโตคอล DeFi ได้อีกด้วย เครื่องมือทดสอบความปลอดภัยอื่นๆ ได้แก่ Tenderly และ Hardhat
การรักษาความปลอดภัยหลังการเปิดตัว
มาตรการรักษาความปลอดภัยที่สามารถทำได้หลังจากโปรโตคอลออนไลน์ ได้แก่ Bug Bounty การตรวจจับการโจมตี และการตรวจสอบการปฏิบัติงาน
รางวัลแมลง
Bug Bounty เชื่อมช่องว่างระหว่างโปรโตคอลและนักวิจัยด้านความปลอดภัย โปรโตคอลเผยแพร่โปรแกรมค่าหัวบนแพลตฟอร์ม Bug Bounty โดยมีรายละเอียดขอบเขตค่าหัวและจำนวนรางวัล นักวิจัยด้านความปลอดภัยจะได้รับรางวัลจากการรายงานช่องโหว่แบบ Zero-day ในโปรโตคอล Immunefi เป็นตัวแทนแพลตฟอร์ม Web3 Bug Bounty
การตรวจจับการโจมตี
แพลตฟอร์มการตรวจจับการโจมตีระบุธุรกรรมที่เป็นอันตรายโดยการสแกนธุรกรรม โดยเฉพาะอย่างยิ่ง แพลตฟอร์มเหล่านี้จะสแกนทุกธุรกรรมที่มีการโต้ตอบกับโปรโตคอลเพื่อหาพฤติกรรมที่เป็นอันตราย และระบบจะทริกเกอร์การแจ้งเตือนเมื่อมีการระบุธุรกรรมที่เป็นอันตราย
ตัวอย่างเช่น BlockSec Phalcon จะสแกนทุกพูลหน่วยความจำและธุรกรรมออนไลน์เพื่อระบุพฤติกรรมที่เป็นอันตราย (เช่น สัญญาที่เป็นอันตรายและข้อเสนอที่เป็นอันตราย) โดยการวิเคราะห์ลักษณะพฤติกรรมของธุรกรรม เปรียบเสมือนเจ้าหน้าที่รักษาความปลอดภัยที่เฝ้าติดตามทุกรายละเอียดของทุกธุรกรรมอย่างไม่หลับใหลเพื่อค้นหาแนวโน้มที่ผิดปกติ โดยแยกรูปแบบพฤติกรรมออกจากธุรกรรมเหล่านี้ และใช้แบบจำลองทางการเงิน (คล้ายกับที่ธนาคารใช้เพื่อตรวจจับการฉ้อโกง) เพื่อระบุการโจมตีที่อาจเกิดขึ้น ระบบที่คล้ายกัน ได้แก่ ผลิตภัณฑ์จาก Hypernative และ Hexagate นอกจากนี้ Venn Security Network ของ Ironblocks ยังมีโครงสร้างพื้นฐานแบบกระจายอำนาจที่สามารถรวบรวมผลการตรวจจับจากหลายแหล่งได้
การตรวจสอบการปฏิบัติงาน
ตามชื่อที่แนะนำ กรอบงานการตรวจสอบการปฏิบัติงานจะตรวจสอบความปลอดภัยในการปฏิบัติงานของโปรโตคอลหลังจากใช้งานจริง ตัวอย่างเช่น สามารถตรวจสอบการเปลี่ยนแปลงคีย์ของผู้ดูแลระบบ การใช้งานสัญญาอัจฉริยะและการอัปเดตแบบเรียลไทม์ และตรวจหาช่องโหว่ด้านความปลอดภัยในคำขอดึงข้อมูลโดยอัตโนมัติ แพลตฟอร์ม OpenZeppelin Defender สามารถช่วยให้นักพัฒนาเขียน ปรับใช้ และเรียกใช้สัญญาอัจฉริยะได้อย่างปลอดภัย BlockSec Phalcon สามารถตรวจสอบการอัปเกรดสัญญา ธุรกรรม Safe Wallet (เช่น การเริ่มต้น ลงนามใหม่ ดำเนินการ) การควบคุมการเข้าถึง และความเสี่ยงที่เกี่ยวข้องกับการกำกับดูแล นอกจากนี้ ผู้ใช้สามารถสร้างโปรโตคอลการตรวจสอบหุ่นยนต์หรือสมัครสมาชิกหุ่นยนต์ที่มีอยู่เพื่อรับการแจ้งเตือนเกี่ยวกับภัยคุกคามด้านความปลอดภัย เช่น ฟิชชิ่ง ผ่านระบบตรวจสอบแบบเรียลไทม์ Forta Network
การตอบสนองการโจมตี
มาตรการรักษาความปลอดภัยที่เรียกใช้โดยอัตโนมัติหรือดำเนินการอย่างเร่งด่วนหลังจากการโจมตีเกิดขึ้น รวมถึงการบล็อกการโจมตี การตอบสนองอัตโนมัติ War Room การวิเคราะห์สาเหตุของการโจมตี และการติดตามกระแสเงินทุนของผู้โจมตี
ในบรรดามาตรการตอบสนองทั้งห้านี้ การบล็อกการโจมตีมีความสำคัญอย่างยิ่ง เนื่องจากทีมงานโครงการสามารถปรับใช้ล่วงหน้าเพื่อบล็อกการโจมตีก่อนที่จะเกิดขึ้น และลดการสูญเสียให้เป็นศูนย์อีกด้วย
การสร้างห้องสงคราม การวิเคราะห์สาเหตุการโจมตี และการติดตามการไหลของเงินทุนเป็นมาตรการรับมือหลังการโจมตี แม้ว่ามาตรการเหล่านี้จะช่วยลดการสูญเสียและป้องกันการโจมตีที่คล้ายกันได้ในอนาคต แต่ก็อาจทำให้เกิดการสูญเสียอย่างหนักซึ่งยากต่อการฟื้นตัว นอกจากนี้ ความเสียหายต่อชื่อเสียงของโครงการและการสูญเสียความไว้วางใจของผู้ใช้อาจส่งผลเสียในวงกว้าง ความเสี่ยงดูเหมือนจะมีอยู่ทุกหนทุกแห่งและป้องกันได้ยาก แต่ฝ่ายโครงการไม่จำเป็นต้องตอบสนองอย่างเฉยเมย พวกเขาสามารถปรับใช้มาตรการป้องกันล่วงหน้าได้ ซึ่งเป็นแนวทางที่แนะนำมากกว่าเช่นกัน
การปิดกั้นการโจมตี
การตรวจจับการโจมตีเป็นช่องทางสำคัญในการเรียนรู้เกี่ยวกับการโจมตีของแฮ็กเกอร์ แต่ถ้าคุณต้องการต่อสู้กับการโจมตีของแฮ็กเกอร์ การตรวจจับเพียงอย่างเดียวยังไม่เพียงพอ เนื่องจากหากไม่มีความสามารถในการบล็อกการโจมตีอัตโนมัติ จึงมักจะสายเกินไปที่จะใช้มาตรการตอบสนองด้วยตนเอง ยกตัวอย่างการโจมตี KyberSwap, Gamma Strategies และ Telcoin เหล่านี้ใช้มาตรการตอบสนองไม่กี่นาทีหรือหลายชั่วโมงหลังการโจมตี ในช่วงเวลานี้ แฮกเกอร์ได้เปิดตัวธุรกรรมการโจมตีหลายครั้งและขโมยทรัพย์สินจำนวนมหาศาล การโจมตี Velocore และ Rho ในเดือนกรกฎาคมทำให้ Linea และ Scroll ทั้งหมดหยุดการทำงานชั่วคราว ซึ่งดึงความสนใจของผู้ใช้ไปที่ปัญหาการรวมศูนย์ของ L2 chain
การบล็อกการโจมตีจะป้องกันการโจมตีของแฮ็กเกอร์โดยอัตโนมัติ โดยอาศัยเทคโนโลยีหลักสองประการ: การตรวจจับตั้งแต่เนิ่นๆ และการจองล่วงหน้าอัตโนมัติ การตรวจหาตั้งแต่เนิ่นๆ หมายความว่าสามารถระบุธุรกรรมการโจมตีได้ก่อนที่ธุรกรรมจะถูกอัพโหลดไปยังเชนและในขณะที่ยังอยู่ในช่วงพูลหน่วยความจำ การวิ่งหน้าอัตโนมัติคือการส่งธุรกรรมการวิ่งหน้าเพื่อระงับโปรโตคอลก่อนที่ธุรกรรมการโจมตีจะถูกอัพโหลดไปยังลูกโซ่ ดังนั้นจึงป้องกันการดำเนินการของธุรกรรมการโจมตี วิธีนี้จะบล็อกการโจมตีก่อนที่มันจะเกิดขึ้นจริง เพื่อหลีกเลี่ยงการสูญเสีย
ในหมวดหมู่นี้ BlockSec Phalcon เป็นผลิตภัณฑ์เดียวที่มีเทคโนโลยีหลักเหล่านี้ หลังจากที่แฮกเกอร์เริ่มธุรกรรมการโจมตี เอ็นจิ้นตรวจสอบการโจมตีของ Phalcon จะสามารถตรวจจับธุรกรรมล่วงหน้า ส่งการแจ้งเตือนการโจมตีไปยังผู้ใช้ และตั้งค่าโปรโตคอลการระงับล่วงหน้าโดยอัตโนมัติเพื่อลดการสูญเสียเป็น 0 ความสามารถในการบล็อกการโจมตีของผลิตภัณฑ์ได้รับการพิสูจน์แล้วในการช่วยเหลือ White Hat มากกว่า 20 ครั้งในอดีต ซึ่งช่วยประหยัดทรัพย์สินได้มากกว่า 20 ล้านเหรียญสหรัฐ
ตอบกลับอัตโนมัติ
นอกเหนือจากแพลตฟอร์มที่บล็อกการโจมตีแล้ว แพลตฟอร์มเช่น Phalcon, Hexagate, Hypernative ฯลฯ ยังสามารถตอบสนองโดยอัตโนมัติเมื่อมีการโจมตีเกิดขึ้น
หลังจากสมัครใช้งานแพลตฟอร์มดังกล่าวแล้ว ผู้ใช้สามารถกำหนดมาตรการติดตามและตอบสนองต่อความเสี่ยงของโปรโตคอลต่างๆ ได้ หากธุรกรรมเป็นไปตามกฎการตรวจสอบ ระบบจะเริ่มมาตรการตอบสนองที่ผู้ใช้กำหนดไว้ล่วงหน้าโดยอัตโนมัติ (เช่น การระงับโปรโตคอล) ซึ่งจะช่วยลดการสูญเสีย อย่างไรก็ตาม บางแพลตฟอร์มไม่มีกลไกการตรวจจับการโจมตี และระบบไม่สามารถระบุธุรกรรมการโจมตีและแจ้งให้ผู้ใช้ทราบได้โดยตรง แต่ผู้ใช้จำเป็นต้องปรับแต่งเงื่อนไขที่สามารถกำหนดธุรกรรมให้เป็นการโจมตีได้ เนื่องจากลักษณะของธุรกรรมการโจมตีนั้นซับซ้อนมากและผู้ใช้ (ซึ่งมักจะเป็นผู้พัฒนาตามสัญญา) ไม่จำเป็นต้องมีความรู้ด้านความปลอดภัยเพียงพอ จึงเป็นเรื่องที่ท้าทายมากสำหรับผู้ใช้
ห้องสงคราม
เมื่อโปรโตคอลเผชิญกับการโจมตี การสร้าง War Room ถือเป็นสิ่งสำคัญอย่างยิ่ง สิ่งนี้ช่วยให้โปรโตคอลเข้าใจสถานการณ์ ประสานข้อมูลกับชุมชนได้ทันท่วงที และบูรณาการทรัพยากรอย่างมีประสิทธิภาพเพื่อดำเนินมาตรการตอบสนอง ซึ่งต้องอาศัยความร่วมมืออย่างใกล้ชิดจากผู้เชี่ยวชาญในสาขาต่างๆ
SEAL 911 ได้รับการออกแบบมาเพื่อ "ช่วยให้ผู้ใช้ นักพัฒนา และนักวิจัยด้านความปลอดภัยเชื่อมต่อกับผู้เชี่ยวชาญด้านความปลอดภัยที่เชื่อถือได้ในสถานการณ์ฉุกเฉิน" ผู้ใช้สามารถขอรับบริการนี้ผ่านทาง SEAL 911 Telegram Bot (https://t.me/seal_911_bot) และเมื่อโปรเจ็กต์ถูกโจมตี War Room ก็สามารถสร้างได้อย่างรวดเร็วเพื่อจัดการกับความท้าทายด้านความปลอดภัย
การวิเคราะห์สาเหตุการโจมตี
เมื่อโปรโตคอลถูกโจมตี สิ่งสำคัญคือการระบุแหล่งที่มาของปัญหา เช่น ช่องโหว่ภายในสัญญาอัจฉริยะ และวิธีการใช้ประโยชน์จากช่องโหว่ การวิเคราะห์ธุรกรรมการโจมตีต้องใช้เครื่องมือบางอย่าง Phalcon Explorer , OpenChain และ Tenderly ล้วนเป็นตัวเลือกที่ดี
การติดตามการไหลของเงินทุน
การติดตามการไหลของเงินทุนหมายถึงการติดตามเงินทุนเริ่มต้นของผู้โจมตีและโจมตีผลกำไรในห่วงโซ่เพื่อค้นหาที่อยู่และหน่วยงานที่เกี่ยวข้อง หากสินทรัพย์เหล่านี้ไปที่หน่วยงานแบบรวมศูนย์ (เช่น การแลกเปลี่ยนแบบรวมศูนย์และหน่วยงานระดับสถาบันอื่น ๆ) สามารถติดต่อหน่วยงานบังคับใช้กฎหมายเพื่อช่วยอายัดเงินทุนได้
Chainalysis, TRM Labs, ARKHAM, ELLIPTIC และ MetaSleuth เป็นบริษัท/ผลิตภัณฑ์ตัวแทนในสาขานี้ ตัวอย่างเช่น MetaSleuth สามารถติดตามกระแสเงินข้ามสายโซ่ได้โดยอัตโนมัติและจัดเตรียมแท็กที่อยู่ที่หลากหลาย ARKHAM ได้จัดตั้งชุมชนที่ฝ่ายโปรโตคอลสามารถเผยแพร่เงินรางวัลการสอบสวนเพื่อจูงใจสมาชิกชุมชนให้ช่วยติดตามกระแสทางการเงินของผู้โจมตี
ทรัพยากรการศึกษาด้านความปลอดภัย
ความรู้คือแนวป้องกันที่ดีที่สุด นอกเหนือจากผู้จำหน่ายและผลิตภัณฑ์ด้านความปลอดภัยที่กล่าวถึงก่อนหน้านี้ ยังมีบทบาทอีกประเภทหนึ่งที่มีความสำคัญต่อการรักษาความปลอดภัย DeFi: แพลตฟอร์มการศึกษา ทรัพยากรหรือข้อมูลที่แพลตฟอร์มเหล่านี้มอบให้สามารถช่วยให้ผู้ปฏิบัติงานและผู้ใช้ DeFi เข้าใจความรู้ด้านความปลอดภัยอย่างลึกซึ้ง ปรับปรุงการรับรู้ด้านความปลอดภัย และปลูกฝังทักษะด้านความปลอดภัย ซึ่งมีบทบาทสำคัญในการส่งเสริมการพัฒนาความปลอดภัยของ DeFi เราแสดงความเคารพต่อแพลตฟอร์มเหล่านี้และแบ่งปันบางส่วนด้านล่างนี้ที่ควรค่าแก่การใส่ใจ
SΞCURΞUM: ชุมชน Discord ที่มุ่งเน้นไปที่ความปลอดภัยของ Ethereum และจัดการแข่งขันด้านความปลอดภัยของสัญญาอัจฉริยะ "Secureum RACE" เป็นประจำ
🔗 https://x.com/TheSecureum
แดชบอร์ดเหตุการณ์ด้านความปลอดภัย: แพลตฟอร์มนี้รวบรวมและอัปเดตเหตุการณ์การโจมตีแบบเรียลไทม์ที่มีการสูญเสียมากกว่า 100,000 ดอลลาร์ และให้ข้อมูลโดยละเอียด เช่น จำนวนการสูญเสีย ห่วงโซ่ที่ได้รับผลกระทบ ประเภทช่องโหว่ การวิเคราะห์สาเหตุการโจมตี และ PoC
🔗 https://app.blocksec.com/explorer/security-incidents
Rekt: เว็บมืดที่รู้จักกันในชื่อข่าว DeFi ให้การวิเคราะห์เชิงลึกเกี่ยวกับการหาประโยชน์จาก DeFi การแฮ็ก และการหลอกลวง
🔗 https://rekt.news/
RugDoc: ชุมชนความปลอดภัยและการศึกษา DeFi แพลตฟอร์มดังกล่าวให้ข้อมูลการประเมินความเสี่ยงของโครงการ และยังมีแพลตฟอร์ม RugDocWiKi ที่แนะนำระบบนิเวศและเทคโนโลยี DeFi
🔗 https://rugdoc.io/
DeFiHackLabs: ชุมชนความปลอดภัย Web3 ที่อุทิศตนเพื่อช่วยให้ผู้มีความสามารถด้านความปลอดภัยของ Web2 เข้าสู่วงการ Web3 ด้วยสมาชิกมากกว่า 2,000 รายและแฮ็กเกอร์หมวกขาวเกือบ 200 รายทั่วโลก คลังสินค้า DeFiHackLabs มอบทรัพยากรการเรียนรู้มากมาย
🔗 https://x.com/DeFiHackLabs
Solodit: แพลตฟอร์มนี้รวบรวมรายงานการตรวจสอบที่ผ่านมาจากบริษัทตรวจสอบ Web3
🔗 https://solodit.xyz/
Ethernaut: เกมที่ใช้ Web3/Solidity ผู้เล่นจำเป็นต้องระบุช่องโหว่ในสัญญา Ethereum ซึ่งคล้ายกับ CTF
🔗 https://ethernaut.openzeppelin.com/
บทสรุป
ปัญหาด้านความปลอดภัยทำให้เกิดความสูญเสียหลายพันล้านดอลลาร์ทุกปีและเป็นภัยคุกคามร้ายแรงต่อระบบนิเวศ DeFi ในระยะยาว ในปัจจุบัน มาตรการรักษาความปลอดภัยส่วนใหญ่มุ่งเน้นไปที่ปัญหาด้านความปลอดภัยก่อนที่โครงการจะออนไลน์ อย่างไรก็ตาม ไม่มี "กระสุนเงิน" ในการรักษาความปลอดภัย ในขั้นตอนต่างๆ ของการพัฒนาโปรโตคอล ควรมีมาตรการที่สอดคล้องกันเพื่อให้มั่นใจในความปลอดภัยและตลอดวงจรชีวิตของโปรโตคอล
เราหวังว่าอุตสาหกรรมจะตระหนักถึงความสำคัญของการรักษาความปลอดภัยหลังจากที่โครงการออนไลน์ ดำเนินมาตรการเพื่อติดตามความเสี่ยงของโปรโตคอล และบล็อกการโจมตีโดยอัตโนมัติ
นอกจากนี้เรายังหวังว่าระบบนิเวศ DeFi จะสามารถสร้างฉันทามติที่ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรก เพื่อปกป้องความปลอดภัยของทรัพย์สินของผู้ใช้ได้ดียิ่งขึ้น
IOS
Android