Рынок DeFi находится в стадии роста, о чем свидетельствует увеличение общего количества заблокированных на смарт-контрактах средств. В связи с этим в последнее время значительно участились взломы проектов из сферы децентрализованных финансов. Новости о хакерских атаках появляются практически каждый день. Злоумышленники находят уязвимости в смарт-контрактах крупных проектов и используют их для похищения токенов пользователей.
О причинах возросшего количества хакерских атак, а также о том, как происходят эти взломы в ходе интервью подробно рассказал Дмитрий Волков - технический директор международной криптобиржи CEX.IO. В компании он отвечает за оптимизацию систем, внутреннюю безопасность и IT-инфраструктуру. Также эксперт дал несколько советов нашим читателям на предмет того, как защитить свои средства на DeFi-площадках.
- В последнее время участились хакерские атаки и взломы DeFi-площадок. Как вы можете прокомментировать данную тенденцию? Почему злоумышленники облюбовали именно эту сферу?
- Тенденцию с ростом числа хакерских атак на DeFi-площадки можно связать со сформировавшейся схожестью их уязвимостей и наработкой хакерами тактик и техник их использования в своих корыстных интересах. Также логично предположить, что возможность сохранения анонимности при атаке на площадки децентрализованных финансов обуславливает повышенный интерес хакеров к этой сфере.
Децентрализованные финансы от централизованных в мире непосредственно криптовалют отличает то, что децентрализованные площадки не имеют единоличного контроля какого-либо физического или юридического лица, от которого финансовые регуляторы и органы правопорядка могли бы потребовать соблюдения тех или иных законов или выполнения распоряжений. Централизованные криптовалютные сервисы имеют единоличного владельца и зарегистрированы на его имя, поэтому они являются субъектом правового поля и должны подчиняться требованиям различного рода властей.
В этой связи пользователи децентрализованных финансовых сервисов не должны раскрывать никаких персональных данных для пользования ими, в отличие от пользователей централизованных аналогов. Это позволяет хакерам в полной мере ощущать свою безнаказанность даже пусть и при неудачных попытках кражи средств с площадок. Помимо отсутствия необходимости регистрации, хакеры также могут использовать любые средства анонимизации цифрового следа в интернете, чему децентрализованные биржи и иные финансовые сервисы никак не противодействуют. В купе с серьёзно выросшим уровнем ликвидности в децентрализованных финансах, всё это, безусловно, привлекает компьютерных мошенников.
- Известно, что индустрия децентрализованных финансов никак не регулируется, вся ответственность за сохранность средств в смарт-контрактах лежит на создателях проектов и пользователях. Можно ли это считать одной из причин привлекательности подобных проектов для хакеров и мошенников?
- Факт отсутствия надзора государственных властей за сферой децентрализованных финансов привлекает не только мошенников, но и новых создателей проектов на растущий рынок, поскольку уровень ответственности перед инвесторами гораздо ниже. По сути, учредители не рискуют ничем, кроме своей репутации. При этом чем популярнее становится рынок, тем шире становится и круг претендентов на долю в нем. При этом средний уровень компетентности среди команд проектов будет падать, поскольку новички не обладают той экспертизой, которой обладают специалисты с опытом в несколько лет, начавшие свой путь в децентрализованных финансах в 2017 году или ранее.
Нередко новоявленные проекты строятся на уже существующей технологической базе, созданной другими. Порой она адаптируется под некий видоизмененный функционал нового проекта, а технический аудит при этом не проводится. Это может приводить к появлению уязвимости для вывода средств из проекта мошенническим или, вернее сказать, не предусмотренным создателями путем. Также не исключен и вариант наличия уязвимости в изначальном коде, который может кочевать от проекта к проекту, и в один прекрасный день находится гениальный хакер, который ее обнаруживает и использует себе во благо.
Поэтому суммируя вышесказанное, можно сказать, что отсутствие контроля за сферой со стороны государственных надзорных органов, анонимность и недостаточность внимания, уделяемого безопасности командами проектов, влечет мошенников на рынок DeFi.
- Есть ли какая-то связь между ростом популярности DeFi-проектов и учащением мошеннических взломов и хакерских атак? И стоит ли с развитием рынка децентрализованных финансов ожидать роста попыток хакерских атак на новые DeFi-проекты?
- Да, как мы уже заметили ранее, рост популярности децентрализованных финансов является фактором привлечения не только пользователей, но и предпринимателей на этот рынок. А это значит, что на рынке становится больше потенциальных жертв как из числа пользователей, так и самих площадок. Хакеры в этом смысле являются некоторым подобием санитаров леса, обеспечивающих эволюционное развитие его обитателей. Слабые погибают, а сильные выживают и становятся более приспособленными к жизни в конкретной среде.
Не секрет, что множество DeFi-проектов предоставляет идентичный функционал, напрямую конкурируя за клиента. Те проекты, которые оказываются жертвой хакеров, уступают место тем, защита которых лучше. Таким образом, проекты, на деле доказавшие свою состоятельность, развиваются и завоевывают доверие пользователей. Поэтому в некоторой степени хакеры помогают рынку децентрализованных финансов развиваться. При этом между проектами и хакерами есть прямая зависимость: рынок растет, проектов становится больше – хакеров тоже становится больше. Поэтому при росте такого сугубо цифрового рынка как DeFi рост хакерской активности является закономерным явлением.
- Говорит ли постоянно растущее количество хакерских атак на DeFi-площадки о том, что в индустрии децентрализованных финансов серьезные проблемы с безопасностью и наметилась некая глобальная проблема, требующая немедленного решения? Или, это не более, чем череда случайностей и причин для беспокойства нет?
- Как бы там ни было, решение проблем будет найдено естественным, конкурентным путем. Череда взломов непременно повысит спрос на безопасность DeFi-проектов, что в свою очередь станет фактором привлекательности проекта для конечного пользователя. Поэтому создатели децентрализованных финансовых сервисов непременно станут уделять более пристальное внимание безопасности своих протоколов для пользователей.
Да, это не произойдет моментально, должен сформироваться соответствующий потребительский запрос, который станет очевиден для площадок. Поэтому на это уйдёт некоторое время. Но уже сам тот факт, что об этом пишут столь многие СМИ, говорит об актуальности проблемы. Поэтому мы уверены, что участники рынка будут планомерно извлекать уроки из печального опыта своих коллег: накопят опыт и сформируют лучшие практики и правила для противодействия хакерским угрозам. Поэтому мы считаем, что повышение уровня безопасности в DeFi – дело времени.
- Как вообще обеспечивается сохранность средств в DeFi-проектах? Насколько хороша и продумана система безопасности?
- Сохранность средств в DeFi-проектах обеспечивается благодаря тщательной проработке возможных угроз и прописывания соответствующей защиты от них на уровне кода смарт-контрактов проектов. По-простому, разработчики должны предусмотреть все ненормативные варианты использования смарт-контракта, чтобы их исключить при его запуске в публичное пользование. То есть они должны предотвратить возможность выполнения смарт-контрактом тех команд, которые позволили бы извлечь финансовую выгоду нечестными способами.
Также необходимой мерой безопасности является проведение технического аудита смарт-контракта: он позволяет выявить все возможные уязвимости благодаря тщательной проверке смарт-контракта профессионалами в области информационной безопасности. Без этого смарт-контракт нельзя считать защищенным от взлома.
- Обычно взломы DeFi-проектов происходят посредством использования уязвимостей, допущенных в смарт-контрактах разработчиками. Как это происходит и о каких ошибках идет речь?
- Речь идет об определенном функционале смарт-контракта, который злоумышленник может использовать в своих корыстных интересах. Его задача состоит в том, чтобы обнаружить это функционал. Есть несколько наиболее часто встречающихся вариантов уязвимостей смарт-контракта:
- позволяющие единолично подписывать транзакции;
- позволяющие влиять на стоимость токена посредством возможности вывода средств в токене, отличном от того, который был заведен в смарт-контракт;
- позволяющие завышать резерв своего баланса при обменных операциях.
Нередко уязвимости возникают при использовании нескольких протоколов в одной транзакции, в частности при использовании мгновенных займов. Цепочка из нескольких смарт-контрактов может создать условия для хакерской атаки, даже если каждый смарт-контракт по отдельности такой возможности не даёт.
Для того чтобы обнаружить уязвимость, злоумышленнику нужно подробно изучить код смарт-контракта. Если у него появляется версия того, каким образом можно произвести взлом, проверить ее можно введя ту последовательность команд, которая, по его мнению, способна привести его к искомому результату. Если попытка окажется успешной, то есть сам смарт-контракт произведет действия, которые позволят хакеру так или иначе вывести из него ликвидность.
- Не могли бы вы подробнее рассказать о методах взлома, которые используют злоумышленники?
- Самый прямолинейный способ “взлома” - это исследовать код смарт-контракта, и найти там ошибку, которую не заметили разработчики и аудиторы безопасности. Это может быть ошибка, например, позволяющая кому угодно выполнить какое-то служебное действие в смарт-контракте, например, которое дает хакеру права владельца всего смарт-контракта. Может быть, разработчики забыли поставить проверку прав вызова определенной команды, либо же передача определенных нетипичных параметров (например, передача слишком большого числа) вызывает неадекватное поведение кода контракта, и на это не обратили внимание разработчики.
Более сложные способы “взлома” - это нахождение логических ошибок в алгоритме и принципе работы сервиса. Такие ошибки обычно не обнаруживаются на этапе аудита безопасности, потому что это ошибка не написания кода алгоритма, а ошибка самого алгоритма. Например, сервис позволяет пользователю заводить деньги в одной валюте, а выводить в другой. При этом курс определяется исходя из текущего курса какой-то распределенной биржи. Часто хакеры пытаются манипулировать ценой на другой бирже, чтобы в определенный точно выбранный момент заставить алгоритм использовать нужный хакеру курс, чтобы он мог завести деньги в одной валюте, а вывести в другой по нужному ему курсу. Если злоумышленник повторит такие действия много раз, манипулируя курсом на бирже, то может вывести практически все запасы денег, которые хранятся на смарт-контракте. Создатели сервиса обычно предполагают, что манипуляция ценой на рынке будет требовать от хакера очень большого капитала и будет дорого ему стоить, поэтому таких атак никогда не произойдет. Это предположение обычно не проверяется, и просто в это никто не верит. А на практике оказывается, что манипулирование ценой не так уж и сложно сделать с использованием функции мгновенных займов. Хакер может брать в долг огромные суммы всего на мгновение, и за это мгновение такой большой суммой хакер может манипулировать ценой на бирже, и это не будет ему стоить практически ничего. С подобным подходом были взломаны многие DeFi-сервисы, и уже сейчас современные DeFi-сервисы часто уже с момента создания алгоритма включают в него защиту от таких атак, например, чтобы курс валют брался сразу с нескольких источников, или требование, чтобы между операциями проходило некоторое время и они не были мгновенными.
- Сейчас многие пользователи столкнулись с проблемой - как выбрать надежную DeFi-площадку, чтобы не переживать о сохранности своих средств. Некоторые эксперты для проверки надежности DeFi-проекта советуют использовать результаты технического аудита. По вашему мнению, насколько это эффективно?
- Это наиболее эффективный метод, поскольку он позволяет оценить именно ту составляющую проекта, которая определяет уровень его защищенности от взлома. Поэтому мы рекомендуем подробнее ознакамливаться с результатом технического аудита смарт-контракта, если таковой опубликован. Если же нет, то это повод задуматься о том, насколько стоит такому проекту доверять свои деньги.
Но стоит отметить, что случались взломы даже тех проектов, у которых было проведено и два технических аудита от авторитетных компаний. Так что сам по себе факт прохождения технического аудита хоть и повышает надежность сервиса, но не полностью гарантирует, и в оценке безопасности нужно принимать во внимание и другие факторы, например, как давно существует сервис, есть ли в нем публичная программа поиска уязвимостей с крупным вознаграждением, и т.д.
- О каких методах предотвращения взломов и атак вы могли бы еще рассказать нашим читателям?
- Перед тем как вкладывать деньги в какой-то проект, стоит проверить его команду. Команда играет очень важную роль в успешности проекта. Нужно проверить, какой опыт имеют ее члены: это можно сделать через соцсети, например, LinkedIn. Если у ведущих членов команды имеется достаточная экспертиза, это хорошо. Если же для них это первый DeFi-проект, и у них нет значительного релевантного опыта, это повод отнестись ко всему проекту с осторожностью.
Проверка команды может на начальном этапе знакомства с проектом дать общее представление о том, насколько серьезны намерения его команды и насколько ей можно доверять свои денежные средства.
- Индустрию децентрализованных финансов и так считают слишком рискованной, а тут еще и новости о хакерских атаках и взломах. В связи с этим интересно ваше мнение относительно того, стоит ли вообще инвестировать в DeFi-проекты и насколько оправдан риск?
- Прежде всего, при инвестировании стоит помнить о диверсификации капитала, поэтому риски, связанные с хакерской атакой, тоже стоит учитывать при управлении рисками инвестиционного портфеля. Вкладывать деньги в DeFi можно, в конце концов большинство площадок и сервисов доказывают свою состоятельность в области безопасности: взломанных смарт-контрактов гораздо меньше, чем не взломанных – просто новости о взломах гораздо чаще попадают в заголовки газет.
Просто к этому нужно подходить с холодной головой, не бросаясь вкладывать деньги в первый попавшийся проект и распределять вложения между различными проектами. Это поможет защитить капитал как от возможных падений цены, так и от угрозы кражи средств.
Инвестиции в DeFi обещают высокую прибыль, но также связаны с высокими рисками в разных областях, включая риск хакерской атаки. Будущие инвесторы должны трезво оценивать риски, связанные с DeFi, а не акцентировать свое внимание только на возможной высокой прибыли.
