Vad lärde vi oss av MonoX-hacket?


Källa: Adobe/Maksim Kabakou

Gleb Zykov är medgrundare och Chief Technology Officer för HashEx, ett blockchain-rådgivnings- och säkerhetsrevisionsföretag.
_____

Den senaste tidens cyberattack på MonoX Finance som resulterade i stölden av 31 miljoner USD, pekar återigen på den otillräckliga säkerheten i decentraliserade finansprotokoll (DeFi). För att säkerhetskopiera denna senaste instans med mer data, låt oss titta på siffrorna i en rapport om bedrägeri och stöld i DeFi sedan 2020 gjord av ett dataanalysföretag Elliptisk. Rapporten säger att 12 miljarder USD hade stulits från DeFi-utrymmet från 2020 till 18 november 2021, med 10,5 miljarder USD markerade för de elva oavslutade månaderna 2021.

Dessa data speglar i stort sett tillväxten av DeFi själv och skickar ett tydligt budskap om vikten av säkerhet i decentraliserad finans till alla dess deltagare och gemenskaper av olika DeFi-protokoll. Vi ser det som den största stötestenen för branschen framåt eftersom DeFi inte kommer att kunna bli ett hållbart alternativ till centraliserad finansiering så länge dess användare utsätter sina fonder för så höga risknivåer.

I den här artikeln kommer jag att förklara hur MonoX-attacken förverkligades och tala om vikten av säkerhetsrevisioner i DeFi och hur projektgrundare och handlare kan skydda pengar låsta i smarta kontrakt.

MonoX swap-attacken förklaras

MonoX är en decentraliserad börs med flera blockkedjor (DEX) som tillåter investerare och handlare att tillhandahålla likviditet för blockkedjorna Ethereum (ETH) och Polygon (MATIC). Denna typ av DeFi-protokoll har visat sig vara mest sårbara för cyberhot eftersom deras kodkomplexitetsnivå är högre än för DeFi-protokoll som är utplacerade på en enda blockkedja. Exploateringen som har lett till förlusten av användarmedel från MonoX Finance är dock en ganska elementär sak.

Bedragarna använde buggen som gjorde det möjligt för dem att använda MonoX Finances inbyggda MONO-token som bas- och offerttillgång i en enda bytesoperation. Detta gjorde det möjligt för dem att höja priset på MONO utan någon egentlig likviditet. Efter att ha gjort det bytte de helt enkelt sin MONO mot sådana tillgångar som WETH, LINK, IXM, MIM, DUCK, GHST, vilket lämnade likviditetsleverantörerna med ganska värdelösa digitala tokens.

MonoX Finance hade granskats av Halborn och Peckshield, dock, och hade en omfattande lista över problem som identifierats i revisionsberättelsen. Detta är ett tecken på den dåliga kvaliteten på koden för projektets kodbas, vilket gör det mycket svårare att inte ignorera en eller annan bugg. Därför är det inte bara ett misslyckande från revisorernas sida att hitta en stor exploatering utan också ett misslyckande hos utvecklarna att tillhandahålla lättläst kod för sina smarta kontrakt.

I sammanhanget vill jag betona hur viktigt det är att skriva lättläst kod, vilket är programmerarnas skyldighet. Innan de överlämnade det till revisorerna måste utvecklarteamet också göra några funktionstestning på egen hand för att säkerställa att varje smart kontrakt fungerar som förväntat.

Vad kan hjälpa till att spara pengar

Det råder ingen tvekan om att revisioner är ett sätt att göra ett DeFi smart kontrakt säkrare. Men vilka är de andra sätten att spara pengarna inlåsta i ett smart kontrakt från stöld? Det finns olika taktiker för investerare och ägare.

För DeFi-grundare

Multisignatur eller DAO

För att förtjäna samhällets förtroende måste ett ärligt DeFi-projekt vidta åtgärder för att säkerställa att det inte blir någon form av mattdrag, dvs pengar som stjäls inifrån projektet. Det första att göra i detta avseende kommer att vara att decentralisera ägandet av det smarta kontraktet mellan flera teammedlemmar. Det betyder att för att ändringar eller kommandon ska kunna utföras i ett smart kontrakt kommer de att kräva auktorisering från flera privata nycklar.

DAO (decentraliserad autonom organisation) är ett annat sätt att minimera mattdragshotet. En DAO tillåter fördelning av röstkraften genom tokens som kommer att vara nödvändiga för att göra ändringar i DAO:s smarta kontrakt. För att rösta på ändringar måste tokeninnehavare låsa sina tokens i det smarta kontraktet tills omröstningen slutar. Därför, om projektgrundaren inte har en överväldigande majoritet av tokens, kommer han eller hon inte att kunna göra ändringar i kontraktet på egen hand.

Kommandofördröjning

Ett annat alternativ är att aktivera en fördröjning av kommandoexekveringen i ett smart kontrakt för kommandon som matas in med den privata nyckeln till det. Det kommer inte att tillåta exekvering av kommandon omedelbart utan endast efter en viss fördröjning. Användare som satt in pengar i det smarta kontraktet kan övervaka transaktioner i kö och kommer att kunna varna gemenskapen innan det är för sent.

För investerare

Kolla laget

Slå upp teammedlemmarna på sociala medier och se om deras personuppgifter stämmer överens med olika sociala nätverk. Om teamet inte avslöjar sin verkliga identitet kan det vara en signal om oro.

Se webbplatsen

Webbplatsen för projektet bör vara presentabel och texten på den bör vara läskunnig. Detsamma gäller projektets dokumentation: den ska vara välstrukturerad och skriven på ett bra språk. Medelmåttigt språk på sajten är en stor anledning till oro.

Se revisionsberättelser

Om det inte nämns någon granskning av projektet är det ett allvarligt problem och bör larma en potentiell investerare direkt. Om det finns länkar till revisionsberättelser bör du gå igenom dem och se vad revisorn har anfört om projektets kod. Det är viktigt att se vad de skrev om kvaliteten på koden också.

Slutsats

Med DeFi-projekt som blivit mer komplexa har sannolikheten för buggar i koden ökat, men det har inte påverkat förfarandet för revisionerna. Ändå är mer än 90 % av arbetet manuell verifiering av koden. Endast de nya typerna av utnyttjande kräver ytterligare kodkontroll utöver vad vi tidigare gjorde.

Investerare bör också göra sin egen due diligence: undersök projektets webbplats, dokumentation och revisionsrapporter som ett absolut minimum. Att hålla sig på sin vakt är också mycket viktigt när man har att göra med DeFi så länge denna finansiella marknad har en så hög grad av hot mot användarnas medel.
____
Läs mer:
– Hackad Bitmart för att kompensera kryptohandlare efter förlust på 200 miljoner USD
– AnubisDAO poäng på ”kritiskt misstag” efter att ha förlorat 60 miljoner USD i investerarpengar

– Bitcoin & Crypto Wallet Hygiene 101
– Minst 6 000 Coinbase-kunder rånade i våras, Exchange ersätter förluster

– Hackad Vulcan Forged säger att den har återbetalat ”majoriteten” av berörda användare
– Badger DAO verkar ha förlorat över 120 miljoner USD i en attack



Source link