பிட்காயின்

டிஃபை நெறிமுறைகள் எவ்வாறு ஹேக் செய்யப்படுகின்றன?


பரவலாக்கப்பட்ட நிதித் துறை வேகமாக வளர்ந்து வருகிறது. மூன்று ஆண்டுகளுக்கு முன்பு, DeFi இல் பூட்டப்பட்ட மொத்த மதிப்பு வெறும் $ 800 மில்லியன் ஆகும். பிப்ரவரி 2021 இல், இந்த எண்ணிக்கை $ 40 பில்லியனாக வளர்ந்தது; ஏப்ரல் 2021 இல், அது $ 80 பில்லியன் மைல்கல்லை எட்டியது; இப்போது அது நிற்கிறது $ 140 பில்லியனுக்கு மேல். ஒரு புதிய சந்தையில் இத்தகைய விரைவான வளர்ச்சி அனைத்து வகையான ஹேக்கர்கள் மற்றும் மோசடி செய்பவர்களின் கவனத்தை ஈர்க்க முடியவில்லை.

கிரிப்டோ ஆராய்ச்சி நிறுவனத்தின் அறிக்கையின்படி, 2019 முதல், தி DeFi துறை சுமார் $ 284.9 மில்லியன் இழந்துள்ளது ஹேக்ஸ் மற்றும் பிற சுரண்டல் தாக்குதல்களுக்கு. பிளாக்செயின் சுற்றுச்சூழல் அமைப்புகளின் ஹேக்குகள் ஹேக்கர்களின் பார்வையில் செறிவூட்டலுக்கான சிறந்த வழிமுறையாகும். இத்தகைய அமைப்புகள் அநாமதேயமாக இருப்பதால், அவர்கள் இழக்க பணம் உள்ளது, மேலும் பாதிக்கப்பட்டவருக்குத் தெரியாமல் எந்த ஹேக்கையும் சோதித்து சரிசெய்யலாம். 2021 முதல் நான்கு மாதங்களில், இழப்புகள் 240 மில்லியன் டாலர்கள். மேலும் இவை பொதுவில் அறியப்பட்ட வழக்குகள். உண்மையான இழப்புகள் பில்லியன் டாலர்கள் என்று நாங்கள் மதிப்பிடுகிறோம்.

தொடர்புடையது: 2020 ஆம் ஆண்டில் கிரிப்டோ ஹேக்குகள், சுரண்டல்கள் மற்றும் திருட்டுகளின் ரவுண்டப்

DeFi நெறிமுறைகளிலிருந்து பணம் எவ்வாறு திருடப்படுகிறது? நாங்கள் பல டஜன் ஹேக்கர் தாக்குதல்களை ஆராய்ந்து ஹேக்கர்களின் தாக்குதலுக்கு வழிவகுக்கும் பொதுவான பிரச்சனைகளை அடையாளம் கண்டுள்ளோம்.

மூன்றாம் தரப்பு நெறிமுறைகளின் தவறான பயன்பாடு மற்றும் வணிக தர்க்கப் பிழைகள்

எந்தவொரு தாக்குதலும் முதன்மையாக பாதிக்கப்பட்டவரின் பகுப்பாய்வோடு தொடங்குகிறது. பிளாக்செயின் தொழில்நுட்பம் தானியங்கி ட்யூனிங் மற்றும் ஹேக்கிங் காட்சிகளின் உருவகப்படுத்துதலுக்கு பல வாய்ப்புகளை வழங்குகிறது. தாக்குதல் வேகமாகவும் கண்ணுக்கு தெரியாமலும் இருக்க, தாக்குபவர் தேவையான புரோகிராமிங் திறன்களையும் புத்திசாலித்தனமான ஒப்பந்தங்கள் எவ்வாறு செயல்படுகின்றன என்பதைப் பற்றிய அறிவையும் கொண்டிருக்க வேண்டும். ஒரு ஹேக்கரின் வழக்கமான கருவித்தொகுப்பு நெட்வொர்க்கின் பிரதான பதிப்பிலிருந்து ஒரு பிளாக்செயினின் முழு நகலையும் பதிவிறக்கம் செய்ய அனுமதிக்கிறது, பின்னர் ஒரு உண்மையான நெட்வொர்க்கில் பரிவர்த்தனை நடைபெறுவது போல் தாக்குதல் செயல்முறையை முழுமையாக மாற்றியமைக்கிறது.

அடுத்து, தாக்குபவர் திட்டத்தின் வணிக மாதிரி மற்றும் பயன்படுத்தப்படும் வெளிப்புற சேவைகளைப் படிக்க வேண்டும். வணிக தர்க்கம் மற்றும் மூன்றாம் தரப்பு சேவைகளின் கணித மாதிரிகளில் உள்ள பிழைகள் ஹேக்கர்களால் பொதுவாக சுரண்டப்படும் இரண்டு சிக்கல்கள்.

புத்திசாலித்தனமான ஒப்பந்தங்களின் டெவலப்பர்கள் எந்த தருணத்திலும் வைத்திருக்கக்கூடியதை விட ஒரு பரிவர்த்தனை நேரத்தில் அதிக தரவு தேவைப்படுகிறது. எனவே அவர்கள் வெளிப்புற சேவைகளைப் பயன்படுத்த வேண்டிய கட்டாயத்தில் உள்ளனர் – உதாரணமாக, ஆரக்கிள்ஸ். இந்த சேவைகள் நம்பிக்கையற்ற சூழலில் செயல்பட வடிவமைக்கப்படவில்லை, எனவே அவற்றின் பயன்பாடு கூடுதல் அபாயங்களைக் குறிக்கிறது. ஒரு காலண்டர் ஆண்டிற்கான புள்ளிவிவரங்களின்படி (2020 கோடைகாலத்திலிருந்து), கொடுக்கப்பட்ட வகை அபாயங்கள் மிகச்சிறிய இழப்புகளுக்குக் காரணம் – 10 ஹேக்குகள் மட்டுமே, இதன் விளைவாக தோராயமாக $ 50 மில்லியன் இழப்பு ஏற்படுகிறது.

தொடர்புடையது: பிளாக்செயின் பாதுகாப்பு நெறிமுறைகளைப் புதுப்பிப்பதற்கான தீவிர தேவை

குறியீட்டு தவறுகள்

ஸ்மார்ட் ஒப்பந்தங்கள் ஐடி உலகில் ஒப்பீட்டளவில் புதிய கருத்து. அவற்றின் எளிமை இருந்தபோதிலும், ஸ்மார்ட் ஒப்பந்தங்களுக்கான நிரலாக்க மொழிகளுக்கு முற்றிலும் மாறுபட்ட வளர்ச்சி முன்னுதாரணம் தேவைப்படுகிறது. டெவலப்பர்கள் பெரும்பாலும் தேவையான குறியீட்டு திறன்களைக் கொண்டிருக்கவில்லை மற்றும் பயனர்களுக்கு பெரும் இழப்பை ஏற்படுத்தும் பெரும் தவறுகளை செய்கிறார்கள்.

பாதுகாப்பு தணிக்கைகள் இந்த வகை அபாயத்தின் ஒரு பகுதியை மட்டுமே நீக்குகின்றன, ஏனெனில் சந்தையில் உள்ள பெரும்பாலான தணிக்கை நிறுவனங்கள் அவர்கள் செய்யும் வேலையின் தரத்திற்கு எந்தப் பொறுப்பையும் ஏற்காது மற்றும் நிதி அம்சத்தில் மட்டுமே ஆர்வம் காட்டுகின்றன. குறியீட்டு பிழைகள் காரணமாக 100 க்கும் மேற்பட்ட திட்டங்கள் ஹேக் செய்யப்பட்டன, இது மொத்த இழப்புகளின் அளவு சுமார் $ 500 மில்லியன் ஆகும். ஒரு தெளிவான உதாரணம் dForce நடந்த ஹேக் ஏப்ரல் 19, 2020 அன்று. ஹேக்கர்கள் ஈஆர்சி -777 டோக்கன் ஸ்டாண்டர்டில் ஒரு மீள்வழித் தாக்குதலுடன் ஒரு பாதிப்பைப் பயன்படுத்தி $ 25 மில்லியனுடன் தப்பிச் சென்றனர்.

தொடர்புடையது: DeFi திட்டங்களுக்கான இயல்புநிலை தணிக்கை தொழில் வளர்ச்சிக்கு அவசியம்

ஃப்ளாஷ் கடன்கள், விலை கையாளுதல் மற்றும் சுரங்கத் தாக்குதல்கள்

ஸ்மார்ட் ஒப்பந்தத்திற்கு வழங்கப்பட்ட தகவல்கள் ஒரு பரிவர்த்தனையை நிறைவேற்றும் போது மட்டுமே பொருத்தமானது. இயல்பாக, ஒப்பந்தத்தில் உள்ள தகவல்களின் வெளிப்புறக் கையாளுதலில் இருந்து பாதுகாப்பு இல்லை. இது முழு அளவிலான தாக்குதலை சாத்தியமாக்குகிறது.

ஃப்ளாஷ் கடன்கள் இணை இல்லாமல் கடன், ஆனால் கடன் வாங்கிய கிரிப்டோவை அதே பரிவர்த்தனைக்குள் திருப்பித் தர வேண்டும். கடன் வாங்குபவர் நிதியைத் திருப்பித் தரவில்லை என்றால், பரிவர்த்தனை ரத்து செய்யப்படுகிறது (திரும்பப் பெறப்பட்டது). இத்தகைய கடன்கள் கடன் வாங்குபவருக்கு அதிக அளவு கிரிப்டோகரன்ஸிகளைப் பெற்று அவற்றை தங்கள் சொந்த நோக்கங்களுக்காகப் பயன்படுத்த அனுமதிக்கின்றன. பொதுவாக, ஃபிளாஷ் கடன் தாக்குதல்கள் விலை கையாளுதலை உள்ளடக்கியது. ஒரு தாக்குபவர் முதலில் ஒரு பரிவர்த்தனைக்குள் அதிக எண்ணிக்கையில் கடன் வாங்கிய டோக்கன்களை விற்கலாம், அதன் மூலம் அவற்றின் விலையை குறைக்கலாம், பின்னர் அவற்றை திரும்ப வாங்குவதற்கு முன் டோக்கனின் மிகக் குறைந்த மதிப்பில் ஒரு செயலைச் செய்யலாம்.

ஒரு சுரங்கத் தாக்குதல் என்பது ப்ரூஃப்-ஆஃப்-ஒர்க் ஒருமித்த வழிமுறையின் அடிப்படையில் வேலை செய்யும் பிளாக்செயின்கள் மீதான ஃபிளாஷ் கடன் தாக்குதலின் ஒப்புமை ஆகும். இந்த வகை தாக்குதல் மிகவும் சிக்கலானது மற்றும் விலை உயர்ந்தது, ஆனால் இது ஃப்ளாஷ் கடன்களின் சில பாதுகாப்பு அடுக்குகளைத் தவிர்க்கலாம். இது எவ்வாறு செயல்படுகிறது: தாக்குதல் நடத்துபவர் சுரங்கத் திறன்களை வாடகைக்கு எடுத்து அவர்களுக்குத் தேவையான பரிவர்த்தனைகளை மட்டுமே கொண்ட ஒரு தொகுதியை உருவாக்குகிறார். கொடுக்கப்பட்ட தொகுதிக்குள், அவர்கள் முதலில் டோக்கன்களை கடன் வாங்கலாம், விலைகளைக் கையாளலாம், பின்னர் கடன் வாங்கிய டோக்கன்களைத் திருப்பித் தரலாம். தாக்குபவர் சுயாதீனமாக தொகுதிக்குள் நுழைந்த பரிவர்த்தனைகளையும், அவற்றின் வரிசையையும் உருவாக்குவதால், தாக்குதல் உண்மையில் அணுக்கருவாகும் (வேறு எந்த பரிவர்த்தனையும் தாக்குதலுக்குள் “ஆப்பு” செய்ய முடியாது), ஃபிளாஷ் கடன்களைப் போல. 100 க்கும் மேற்பட்ட திட்டங்களை ஹேக் செய்ய இந்த வகை தாக்குதல் பயன்படுத்தப்படுகிறது, இழப்புகள் சுமார் $ 1 பில்லியன் ஆகும்.

சராசரியாக ஹேக்குகளின் எண்ணிக்கை காலப்போக்கில் அதிகரித்து வருகிறது. 2020 ஆம் ஆண்டின் தொடக்கத்தில், ஒரு திருட்டு நூறாயிரக்கணக்கான டாலர்களைக் கொண்டிருந்தது. ஆண்டின் இறுதியில், தொகை பத்து மில்லியன் டாலர்களாக உயர்ந்தது.

தொடர்புடையது: ஸ்மார்ட் ஒப்பந்த சுரண்டல்கள் ஹேக்கிங்கை விட நெறிமுறைகள் … அல்லது இல்லையா?

டெவலப்பர் திறமையின்மை

மிகவும் ஆபத்தான வகை ஆபத்து மனித பிழை காரணியை உள்ளடக்கியது. மக்கள் விரைவான பணத்தைத் தேடுவதற்காக DeFi ஐ நாடுகின்றனர். பல டெவலப்பர்கள் தகுதியற்றவர்கள் ஆனால் இன்னும் அவசரமாக திட்டங்களைத் தொடங்க முயற்சிக்கின்றனர். ஸ்மார்ட் ஒப்பந்தங்கள் திறந்த மூலமாகும், இதனால் ஹேக்கர்களால் சிறிய வழிகளில் எளிதாக நகலெடுக்கப்பட்டு மாற்றப்படும். அசல் திட்டத்தில் முதல் மூன்று வகையான பாதிப்புகள் இருந்தால், அவை நூற்றுக்கணக்கான குளோன் செய்யப்பட்ட திட்டங்களுக்கு பரவுகின்றன. RFI SafeMoon ஒரு நல்ல உதாரணம் ஒரு முக்கியமான பாதிப்பைக் கொண்டுள்ளது இது நூறு திட்டங்களுக்கு மேல் நிர்ணயிக்கப்பட்டுள்ளது, இது $ 2 பில்லியனுக்கும் அதிகமான சாத்தியமான இழப்புகளுக்கு வழிவகுக்கிறது.

இந்த கட்டுரை இணை எழுதியவர் விளாடிஸ்லாவ் கோமிசரோவ் மற்றும் டிமிட்ரி மிஷுனின்.

இங்கே வெளிப்படுத்தப்பட்ட கருத்துக்கள், எண்ணங்கள் மற்றும் கருத்துக்கள் ஆசிரியர்கள் மட்டுமே மற்றும் Cointelegraph இன் கருத்துகள் மற்றும் கருத்துக்களை பிரதிபலிக்கவோ அல்லது பிரதிநிதித்துவம் செய்யவோ அவசியமில்லை.

விளாடிஸ்லாவ் கோமிசரோவ் BondAppetit இன் தலைமை தொழில்நுட்ப அதிகாரி, நிலையான கால வருமானத்துடன் நிஜ உலக சொத்துகளால் ஆதரிக்கப்படும் ஒரு நிலையான நாணயத்துடன் கூடிய கடன் வழங்கும் DeFi நெறிமுறை. வலை மேம்பாட்டில் அவருக்கு 17 ஆண்டுகளுக்கும் மேலான அனுபவம் உள்ளது.

டிமிட்ரி மிஷுனின் HashEx இன் நிறுவனர் மற்றும் தலைமை தொழில்நுட்ப அதிகாரி ஆவார். 30 க்கும் மேற்பட்ட உலகளாவிய திட்டங்கள் ஹாஷ்எக்ஸ் வடிவமைத்த பிளாக்செயின் ஒருங்கிணைப்புகளில் இயங்குகின்றன. 2017-2021 இல் 200 க்கும் மேற்பட்ட ஸ்மார்ட் ஒப்பந்தங்கள் தணிக்கை செய்யப்பட்டன.