Fringe Finance CTO'su Brian Pasfield ile DeFi'deki mevcut güvenlik sorunları hakkında röportaj gerçekleştirdik. Kendisi ile bu yıl istismar edilen en yaygın saldırı vektörlerini tartıştık, merkezileştirmeyle ilgili belirli güvenlik açıklarını konuştuk ve bunların nasıl önlenebileceğini ve kapsamlı bir denetim yapmak için hangi adımların atılması gerektiğini öğrendik. Brian ayrıca bir müşterinin DeFi yatırımını korumak için neler yapabileceğine dair veriler paylaştı ve güvenilir bir DeFi ürününün nasıl seçileceğine dair bazı pratik tavsiyeler verdi.
Fringe Finance, kripto para birimlerine bağlı milyarlarca dolarlık sermayeyi, onlar tarafından garanti edilen krediler sunarak açmayı amaçlayan bir platformdur. Platform, piyasadaki en geniş altcoin yelpazesini teminat olarak kabul etmeyi amaçlıyor.
İlginizi Çekebilir: Samsung, Türkiye’de Dijital Sanat ve NFT Teknolojilerinde Öncü Olacak Yeni dART Platformu’nu Tanıttı!
DeFi son derece yeni bir endüstridir. Ethereum, Turing-complete akıllı sözleşmelerini sekiz yıldan daha kısa bir süre önce tanıttı. Bu nedenle akıllı sözleşme güvenliği, geleneksel finansal sistemler oluşturmaktan çok daha fazla dikkat ve çaba gerektirir. Ayrıca, işlemler geri alınamaz ve çalınan fonlar karıştırıcılar ve bardaklar aracılığıyla gizlenebilir. Bir bilgisayar korsanı, bir geliştirici ekibi tarafından yapılan ciddi bir gözetimi tespit edip kullanabilirse, milyarlarca kişi ele geçirilebilir.
Bu arada, geliştiriciler genellikle uygun denetimler ve kapsamlı testler olmadan yeni özellikleri aceleyle piyasaya sürmek için dış baskıya yenik düşerler. Bu, bugün DeFi güvenliğinin önündeki en önemli zorluktur. Yeni ve uzun süredir devam eden DeFi projelerinde en büyük öncelik olmasını sağlamak.
Sadece birkaçını listelemek gerekirse: fonksiyonların kritik bir değişkeni değiştirdikten sonra yaşanan eksik olay emisyonları. Derleyici sürümünü kilitlememek, aynı kod için farklı bayt kodu oluşturulmasına izin veriyor. Ayrıca, sözleşme geçersiz girdi aldığında istenmeyen davranışlara yol açan uygunsuz girdi doğrulaması da bulunuyor.
Blockchain dışı uygulamalar yazma konusunda deneyimli olmalarına rağmen, bazı geliştiriciler bazen dApp'leri yazarken akıllı sözleşme geliştirmenin nüanslarını göz önünde bulundurmazlar. Böyle bir nüans, yeniden giriş saldırılarını hesaba katmaz: Onlarda, A sözleşmesi, durumunu güncellemeden önce bir B sözleşmesini çağırır. Bu olduğunda, B'nin önceki işlemi sanki koşullar (örneğin, A'nın ETH bakiyesi) değişmemiş gibi tekrarlama durumu oluşur.
Başka bir istismar, dahili mantık için manipüle edilebilir verilere güvenmeyi içerir. Madenciler ve madencilik havuzları, blok hash ve işlem sırasını kurcalamak için önemli bir güce sahiptir ve bu güvenilmez rastgelelik kaynaklarını oluşturur. AMM likidite havuzlarını fiyat tahminleri olarak kullanmak da son derece sorunludur, çünkü bunlar bütün bir protokolü ortadan kaldırabilecek ucuz flash krediler kullanılarak kolayca manipüle edilebilir. Bu nedenle, merkezi olmayan tahminler ve rastgelelik kaynakları gibi çözümler sektörümüzün gelişimi için kritik öneme sahiptir.
Üçüncü taraf bağımlılıklarına güvenmek de oldukça yaygındır. Bunlar, sözleşmenin davranışını önceden bildirilmeksizin değiştiren değiştirilebilir. Şimdiye kadarki en yaygın güvenlik açığı, merkezileştirmedir ve bu, para çalmayı, yanlış yönetilen birkaç özel anahtara erişim sağlamak kadar basit hale getirir.
Merkezileştirme, birden fazla saldırı vektörü açarak başarısızlık noktaları sunar. En belirgin olanı rugpulls. Yanlış yönetilen anahtarlar, daha sonra bunları fon çalmak için kullanabilecek bilgisayar korsanlarına kolaylık sağlar. Anahtar sahipleri anahtarlarını kaybedebilir veya vefat edebilir, bu da fonları sonsuza kadar erişilemez hale getirebilir.
Merkezileştirme sorunları her zaman hemen belirgin değildir. Mümkün olan en geniş güvenlik açıklarını belirlemek için uygun denetimler gereklidir ve ne yazık ki çoğu DeFi platformu bu tür kapsamlı denetimlerden yoksundur.
Merkezileşmenin cevabı, elbette, ademi merkeziyetçiliktir. DAO'lar bu amaç için gereklidir, ancak protokol tasarımı, merkezi varlıkların müdahalesini tamamen gereksiz hale getirebilir.
Denetimi görevlendiren taraf sürecin kapsamını belirler: denetim firması hangi sözleşmeleri ne derece inceleyecek. İdeal olarak, sadece birkaç sözleşmeyi değil, tüm protokolünüzü denetlersiniz, ancak bu konuda her zaman stratejik olunması gerekiyor.
Bu noktadan itibaren, denetim firmasının uzmanları kod tabanını inceleyecek, arızalı bileşenleri belirlemek için otomatik test araçlarını kullanacak, hatalı kodun mümkün kılabileceği çok çeşitli bilinen açıklardan yararlanmaları uygulayacak ve güvenlik açıklarını tek tek kontrol edecek. Bu süreç, ekibin bir rapor oluşturmasını amaçlar.
Bu habere henüz yorum yazılmamış, haydi ilk yorumu siz bırakın!...