Как защитить свои средства на DeFi-площадках: часть 1

Интервью с Дмитрием Волковым, техническим директором международной криптобиржи CEX.IO, для ресурса Blockchain24.

В последнее время участились хакерские атаки и взломы DeFi-площадок. Как вы можете прокомментировать данную тенденцию? Почему злоумышленники облюбовали именно эту сферу?

Тенденцию с ростом числа хакерских атак на DeFi-площадки можно связать со сформировавшейся схожестью их уязвимостей и наработкой хакерами тактик и техник их использования в своих корыстных интересах. Также логично предположить, что возможность сохранения анонимности при атаке на площадки децентрализованных финансов обуславливает повышенный интерес хакеров к этой сфере.

Децентрализованные финансы от централизованных в мире непосредственно криптовалют отличает то, что децентрализованные площадки не имеют единоличного контроля какого-либо физического или юридического лица, от которого финансовые регуляторы и органы правопорядка могли бы потребовать соблюдения тех или иных законов или выполнения распоряжений. Централизованные криптовалютные сервисы имеют единоличного владельца и зарегистрированы на его имя, поэтому они являются субъектом правового поля и должны подчиняться требованиям различного рода властей.

В этой связи пользователи децентрализованных финансовых сервисов не должны раскрывать никаких персональных данных для пользования ими, в отличие от пользователей централизованных аналогов. Это позволяет хакерам в полной мере ощущать свою безнаказанность даже пусть и при неудачных попытках кражи средств с площадок. Помимо отсутствия необходимости регистрации, хакеры также могут использовать любые средства анонимизации цифрового следа в интернете, чему децентрализованные биржи и иные финансовые сервисы никак не противодействуют.

Вкупе с серьёзно выросшим уровнем ликвидности в децентрализованных финансах, всё это, безусловно, привлекает компьютерных мошенников.

Известно, что индустрия децентрализованных финансов никак не регулируется, вся ответственность за сохранность средств в смарт-контрактах лежит на создателях проектов и пользователях. Можно ли это считать одной из причин привлекательности подобных проектов для хакеров и мошенников? 

Факт отсутствия надзора государственных властей за сферой децентрализованных финансов привлекает не только мошенников, но и новых создателей проектов на растущий рынок, поскольку уровень ответственности перед инвесторами гораздо ниже. По сути, учредители не рискуют ничем, кроме своей репутации. И чем популярнее становится рынок, тем шире становится и круг претендентов на долю в нем. При этом средний уровень компетентности среди команд проектов будет падать, поскольку новички не обладают той экспертизой, которой обладают специалисты с опытом в несколько лет, начавшие свой путь в децентрализованных финансах в 2017 году или ранее. 

Нередко новоявленные проекты строятся на уже существующей технологической базе, созданной другими. Порой она адаптируется под некий видоизмененный функционал нового проекта, а технический аудит при этом не проводится. Это может приводить к появлению уязвимости для вывода средств из проекта мошенническим или, вернее сказать, не предусмотренным создателями путем. Также не исключен и вариант наличия уязвимости в изначальном коде, который может кочевать от проекта к проекту, и в один прекрасный день находится гениальный хакер, который её обнаруживает и использует себе во благо.

Поэтому суммируя выше сказанное, можно сказать, что отсутствие контроля за сферой со стороны государственных надзорных органов, анонимность и недостаточность внимания, уделяемого безопасности командами проектов, влечет мошенников на рынок DeFi.

Есть ли какая-то связь между ростом популярности DeFi-проектов и учащением мошеннических взломов и хакерских атак? И стоит ли с развитием рынка децентрализованных финансов ожидать роста попыток хакерских атак на новые DeFi-проекты?

Да, как мы уже заметили ранее, рост популярности децентрализованных финансов является фактором привлечения не только пользователей, но и предпринимателей на этот рынок. А это значит, что на рынке становится больше потенциальных жертв как из числа пользователей, так и самих площадок. Хакеры в этом смысле являются некоторым подобием санитаров леса, обеспечивающих эволюционное развитие его обитателей. Слабые погибают, а сильные выживают и становятся более приспособленными к жизни в конкретной среде.

Не секрет, что множество DeFi-проектов предоставляет идентичный функционал, напрямую конкурируя за клиента. Те проекты, которые оказываются жертвой хакеров, уступают место тем, защита которых лучше. Таким образом, проекты, на деле доказавшие свою состоятельность, развиваются и завоевывают доверие пользователей. Поэтому в некоторой степени хакеры помогают рынку децентрализованных финансов развиваться.

При этом между проектами и хакерами есть прямая зависимость: рынок растет, проектов становится больше – хакеров тоже становится больше. Поэтому при росте такого сугубо цифрового рынка как DeFi рост хакерской активности является закономерным явлением.

Говорит ли постоянно растущее количество хакерских атак на DeFi-площадки о том, что в индустрии децентрализованных финансов серьезные проблемы с безопасностью и наметилась некая глобальная проблема, требующая немедленного решения? Или это не более чем череда случайностей, и причин для беспокойства нет?

Как бы там ни было, решение проблем будет найдено естественным, конкурентным путем. Череда взломов непременно повысит спрос на безопасность DeFi-проектов, что в свою очередь станет фактором привлекательности проекта для конечного пользователя. Поэтому создатели децентрализованных финансовых сервисов непременно станут уделять более пристальное внимание безопасности своих протоколов для пользователей.

Да, это не произойдет моментально — должен сформироваться соответствующий потребительский запрос, который станет очевиден для площадок. Поэтому на это уйдёт некоторое время. Но уже сам тот факт, что об этом пишут столь многие СМИ, говорит об актуальности проблемы. Поэтому мы уверены, что участники рынка будут планомерно извлекать уроки из печального опыта своих коллег: накопят опыт и сформируют лучшие практики и правила для противодействия хакерским угрозам. Поэтому мы считаем, что повышение уровня безопасности в DeFi – дело времени.

Как вообще обеспечивается сохранность средств в DeFi-проектах? Насколько хороша и продумана система безопасности?

Сохранность средств в DeFi-проектах обеспечивается благодаря тщательной проработке возможных угроз и прописывания соответствующей защиты от них на уровне кода смарт-контрактов проектов.

По-простому, разработчики должны предусмотреть все ненормативные варианты использования смарт-контракта, чтобы их исключить при его запуске в публичное пользование. То есть они должны предотвратить возможность выполнения смарт-контрактом тех команд, которые позволили бы извлечь финансовую выгоду нечестными способами.

Также необходимой мерой безопасности является проведение технического аудита смарт-контракта: он позволяет выявить все возможные уязвимости благодаря тщательной проверке смарт-контракта профессионалами в области информационной безопасности. Без этого смарт-контракт нельзя считать защищенным от взлома.

Полное интервью читайте по ссылке.