More

    Chúng ta học được gì từ MonoX Hack?

    Cuộc tấn công mạng gần đây vào MonoX Finance dẫn đến việc đánh cắp 31 triệu USD, một lần nữa chỉ ra sự thiếu an toàn trong các giao thức tài chính phi tập trung (DeFi). Để sao lưu trường hợp gần đây với nhiều dữ liệu hơn, chúng ta hãy xem xét các con số trong một báo cáo về gian lận và trộm cắp trong DeFi kể từ năm 2020 được thực hiện bởi một công ty phân tích dữ liệu Elliptic. Báo cáo cho biết 12 tỷ USD đã bị đánh cắp từ không gian DeFi từ năm 2020 đến ngày 18 tháng 11 năm 2021, với 10,5 tỷ USD được đánh dấu cho 11 tháng chưa hoàn thành của năm 2021.

    Những dữ liệu này phản ánh khá nhiều sự phát triển của chính DeFi và gửi một thông điệp rõ ràng về tầm quan trọng của bảo mật trong tài chính phi tập trung tới tất cả những người tham gia và cộng đồng của các giao thức DeFi khác nhau. Chúng tôi coi đó là trở ngại lớn nhất cho ngành vì DeFi sẽ không thể trở thành một giải pháp thay thế bền vững cho tài chính tập trung miễn là người dùng để tiền của họ ở mức độ rủi ro cao như vậy.

    Trong bài viết này, tôi sẽ giải thích cách thức tấn công MonoX thành hiện thực và nói về tầm quan trọng của việc kiểm tra bảo mật trong DeFi cũng như cách những người sáng lập và giao dịch dự án có thể bảo vệ các khoản tiền bị khóa trong các hợp đồng thông minh.

    Cuộc tấn công hoán đổi MonoX giải thích

    MonoX là một sàn giao dịch phi tập trung đa blockchain (DEX) cho phép các nhà đầu tư và thương nhân cung cấp thanh khoản cho các blockchain Ethereum (ETH) và Polygon (MATIC). Loại giao thức DeFi này được coi là dễ bị tổn thương nhất trước các mối đe dọa mạng vì mức độ phức tạp của mã của chúng cao hơn so với các giao thức DeFi được triển khai trên một blockchain duy nhất. Tuy nhiên, việc khai thác dẫn đến mất tiền của người dùng từ MonoX Finance là một điều khá sơ đẳng.

    Những kẻ gian lận đã sử dụng lỗi cho phép chúng sử dụng mã thông báo MONO gốc của MonoX Finance làm cơ sở và định giá tài sản trong một hoạt động hoán đổi duy nhất. Do đó, điều này cho phép họ nâng giá MONO mà không có bất kỳ tính thanh khoản thực sự nào. Sau khi làm điều đó, họ chỉ cần hoán đổi MONO của mình cho các tài sản như WETH, LINK, IXM, MIM, DUCK, GHST, để lại cho các nhà cung cấp thanh khoản khá nhiều token kỹ thuật số vô giá trị.

    Tuy nhiên, MonoX Finance đã được kiểm toán bởi Halborn và Peckshield và có một danh sách đầy đủ các vấn đề được xác định trong báo cáo kiểm toán. Đây là dấu hiệu của chất lượng kém của mã cơ sở mã của dự án, điều này khiến việc bỏ qua lỗi này hay lỗi khác khó hơn rất nhiều. Do đó, kiểm toán viên không chỉ thất bại trong việc tìm ra cách khai thác chính mà còn là thất bại của các nhà phát triển trong việc cung cấp mã dễ đọc cho các hợp đồng thông minh của họ.

    Trong bối cảnh này, tôi muốn nhấn mạnh tầm quan trọng của việc viết mã dễ đọc, đó là nhiệm vụ của các lập trình viên. Ngoài ra, trước khi giao nó cho các kiểm toán viên, nhóm nhà phát triển nên thực hiện tốt hơn một số thử nghiệm chức năng của riêng họ để đảm bảo rằng mọi hợp đồng thông minh đều hoạt động như mong đợi.

    Điều gì có thể giúp tiết kiệm tiền

    Không còn nghi ngờ gì nữa, việc kiểm tra là một phương thức hoạt động để làm cho hợp đồng thông minh DeFi an toàn hơn. Nhưng những cách khác để tiết kiệm tiền bị khóa trong hợp đồng thông minh khỏi hành vi trộm cắp là gì? Có các chiến thuật khác nhau cho các nhà đầu tư và chủ sở hữu.

    Dành cho những người sáng lập DeFi

    Nhiều chữ ký hoặc DAO

    Để có được sự tin tưởng của cộng đồng, một dự án DeFi trung thực phải thực hiện các bước để đảm bảo rằng sẽ không có bất kỳ hình thức kéo tấm thảm nào, tức là tiền bị đánh cắp từ bên trong dự án. Điều đầu tiên cần làm về mặt này là phân cấp quyền sở hữu hợp đồng thông minh giữa một số thành viên trong nhóm. Có nghĩa là để các thay đổi hoặc lệnh được thực thi trong hợp đồng thông minh, chúng sẽ yêu cầu ủy quyền từ một số khóa riêng.

    DAO (tổ chức tự trị phi tập trung) là một cách khác để giảm thiểu mối đe dọa kéo thảm. DAO cho phép phân phối quyền biểu quyết thông qua các mã thông báo cần thiết để thực hiện các thay đổi đối với hợp đồng thông minh của DAO. Để bỏ phiếu cho các thay đổi, chủ sở hữu mã thông báo sẽ phải khóa mã thông báo của họ trong hợp đồng thông minh cho đến khi cuộc bỏ phiếu kết thúc. Do đó, nếu người sáng lập dự án không có đa số token, họ sẽ không thể thực hiện thay đổi hợp đồng một mình.

    Chậm trễ thực thi lệnh

    Một tùy chọn khác là cho phép trì hoãn thực thi lệnh trong hợp đồng thông minh cho các lệnh được nhập bằng khóa riêng của nó. Nó sẽ không cho phép thực hiện các lệnh ngay lập tức mà chỉ sau một khoảng thời gian trễ nhất định. Người dùng đã gửi tiền vào hợp đồng thông minh có thể theo dõi các giao dịch đã xếp hàng đợi và sẽ có thể cảnh báo cho cộng đồng trước khi quá muộn.

    Đối với các nhà đầu tư

    Kiểm tra đội

    Tra cứu các thành viên trong nhóm trên mạng xã hội và xem dữ liệu cá nhân của họ có khớp trên các mạng xã hội khác nhau hay không. Nếu nhóm nghiên cứu không tiết lộ danh tính thực của họ, đó có thể là một tín hiệu đáng lo ngại.

    Xem trang web

    Địa điểm của dự án phải đẹp và văn bản trên đó phải biết chữ. Tương tự đối với tài liệu của dự án: nó phải được cấu trúc tốt và được viết bằng ngôn ngữ tốt. Ngôn ngữ tầm thường trên trang web là một lý do lớn cho mối quan tâm.

    Xem báo cáo kiểm toán

    Nếu không có đề cập đến kiểm toán của dự án, nó là một vấn đề nghiêm trọng và cần báo động ngay cho một nhà đầu tư tiềm năng. Nếu có các liên kết đến các báo cáo đánh giá, bạn nên xem qua chúng và xem đánh giá viên đã nêu những gì về mã của dự án. Điều quan trọng là phải xem những gì họ đã viết về chất lượng của mã.

    Kết luận

    Với việc các dự án DeFi ngày càng trở nên phức tạp, xác suất xuất hiện lỗi trong mã đã tăng lên, nhưng điều đó không ảnh hưởng đến quy trình kiểm tra. Tuy nhiên, hơn 90% công việc là xác minh thủ công mã. Chỉ những kiểu khai thác mới yêu cầu kiểm tra mã bổ sung trên những gì chúng tôi đã làm trước đây.

    Bài viết liên quan

    Bình luận

    BÌNH LUẬN

    Vui lòng nhập bình luận của bạn
    Vui lòng nhập tên của bạn ở đây

    Mới nhất