Saat ini, pasar blockchain secara keseluruhan masih dalam masa pertumbuhan, dan keuangan desentralisasi (DeFi) pasar adalah bagian yang paling menjanjikan. Menurut data DefiLlama, pada tahun 2021, pasar DeFi memiliki likuiditas sekitar $200 miliar yang terkunci dalam kontrak pintar. Jika kita melihat modal ini sebagai investasi awal, pasar ini terlihat seperti usaha yang sangat menjanjikan. Tidak terlalu banyak perusahaan global yang bisa membanggakan kapitalisasi seperti itu. Tetapi setiap pasar muda memiliki masalah tumbuh gigi. Dengan DeFi, masalah utamanya adalah kurangnya pengembang blockchain yang berkualitas.
Industri ini masih sangat muda dan memiliki basis pengguna yang relatif kecil. Kebanyakan orang paling baik mendengar tentang DeFi tanpa tahu apa itu. Tapi seperti yang terjadi dengan setiap usaha baru yang menjanjikan, dengan cepat menciptakan banyak minat spekulatif. Sayangnya, mempersiapkan personel membutuhkan waktu lebih lama, terutama dalam bidang pengetahuan yang intensif seperti blockchain dan pengembangan kontrak pintar. Ini berarti bahwa beberapa tim proyek harus berkompromi dan mempekerjakan personel yang kurang berpengalaman.
Masalah ini tak terhindarkan menciptakan risiko celah keamanan yang semakin besar dalam kode proyek ini. Dan kemudian kita harus menghadapi konsekuensinya dalam kehilangan modal pengguna. Untuk pemahaman singkat tentang seberapa besar masalah ini, saya dapat mengatakan bahwa sekitar 10% dari total likuiditas DeFi yang terkunci telah dicuri oleh peretas. Seharusnya tidak mengejutkan siapa pun bahwa masyarakat arus utama lebih memilih untuk menjauh dari sistem keuangan yang menimbulkan bahaya seperti itu terhadap dana mereka.
Terkait: Bagaimana protokol DeFi diretas?
Bagaimana eksploitasi DeFi berubah baru-baru ini?
Serangan pada DeFi telah lama berpusat di sekitar serangan reentrancy. Kita bisa mengingat yang terkenal Peretasan DAO tahun 2016 yang mengakibatkan hilangnya modal investor sebesar $150 juta dan menyebabkan hard fork Ethereum. Sejak itu, kerentanan ini telah dieksploitasi berkali-kali dalam kontrak pintar yang berbeda.
Fungsi panggilan balik digunakan secara aktif oleh protokol peminjaman: Ini memungkinkan kontrak pintar untuk memeriksa saldo agunan pengguna sebelum memberikan pinjaman. Semua proses ini terjadi dalam satu transaksi, yang memberikan solusi bagi peretas untuk mencuri uang dari kontrak pintar semacam itu. Saat Anda mengirim permintaan untuk meminjam dana, fungsi panggilan balik pertama-tama memeriksa saldo agunan, kemudian memberikan pinjaman jika agunan mencukupi dan kemudian mengubah saldo agunan pengguna di dalam kontrak pintar.
Untuk mengelabui kontrak pintar, peretas mengembalikan panggilan ke fungsi panggilan balik untuk memulai proses ini dari awal. Karena transaksi belum diselesaikan di blockchain, fungsi memberikan pinjaman lain untuk saldo agunan yang sama. Meskipun solusi untuk masalah ini telah berlangsung cukup lama, banyak proyek masih menjadi korbannya.
Terkadang, tim proyek dengan sedikit keterampilan dalam menulis kontrak pintar memutuskan untuk meminjam basis kode proyek DeFi sumber terbuka lainnya untuk menerapkan kontrak pintar mereka sendiri. Mereka biasanya melakukannya dengan proyek-proyek terkemuka yang telah diaudit dan memiliki basis pengguna yang besar dan telah terbukti dibangun dengan aman. Tetapi mereka mungkin memutuskan untuk membuat modifikasi kecil pada kode yang dipinjam untuk menambahkan fungsionalitas yang ingin mereka miliki dalam kontrak pintar mereka, bahkan tanpa mengubah kode aslinya. Ini dapat merusak logika kontrak pintar, yang sering tidak disadari oleh pengembang.
Ini apa memungkinkan peretas mencuri sekitar $19 juta dari Cream Finance pada Agustus 2021. Tim Cream Finance meminjam kode dari protokol DeFi yang berbeda dan menambahkan token panggilan balik dalam kontrak pintar mereka. Meskipun Anda dapat mencegah serangan reentrancy dengan menerapkan pola "pemeriksaan, efek, interaksi" yang memprioritaskan perubahan saldo daripada pengeluaran dana, beberapa tim masih gagal melindungi platform mereka dari eksploitasi ini.
Serangan pinjaman flash memungkinkan peretas mencuri dana secara berbeda dan semakin populer sejak boom DeFi tahun 2020. Ide utama serangan pinjaman flash adalah Anda tidak perlu memiliki jaminan untuk meminjam dana dari protokol karena paritas keuangan masih terjamin oleh fakta bahwa pinjaman diambil dan dikembalikan dalam satu transaksi. Dan itu tidak akan terjadi jika Anda gagal mengembalikan pinjaman dengan bunga dalam satu transaksi. Tetapi penyerang telah berhasil melakukan serangan pinjaman flash pada banyak protokol.
Terkait: Dibutuhkan: Proyek pendidikan besar-besaran untuk memerangi peretasan dan penipuan
Dalam melakukannya, mereka menggunakan beberapa protokol untuk meminjam dan menyeret likuiditas hingga tindakan terakhir di mana mereka memperkuat harga token melalui nubuat atau kumpulan likuiditas dan menggunakannya untuk menipu pump-and-dump dan pergi dengan likuiditas dalam array dari beberapa cryptocurrency utama yang berbeda seperti Ether (ETH), Bitcoin Terbungkus (wBTC) dan lainnya. Beberapa serangan pinjaman kilat yang terkenal termasuk Serangan kelinci pancake, di mana protokol kehilangan $200 juta, dan serangan Cream Finance lainnya, di mana lebih dari $100 juta dicuri.
Bagaimana cara bertahan melawan eksploitasi DeFi?
Untuk membangun protokol DeFi yang aman, idealnya, Anda hanya boleh mempercayai pengembang blockchain yang berpengalaman. Mereka harus memiliki pemimpin tim profesional dengan keterampilan dalam membangun aplikasi terdesentralisasi. Juga bijaksana untuk mengingat untuk menggunakan pustaka kode yang aman untuk pengembangan. Terkadang, pustaka yang kurang mutakhir bisa menjadi opsi teraman daripada pustaka dengan basis kode terbaru.
Pengujian adalah hal penting lainnya semua proyek DeFi yang serius harus dilakukan. Sebagai CEO perusahaan audit kontrak pintar, saya selalu mencoba untuk menutupi 100% kode klien kami dan menekankan pentingnya perlindungan terdesentralisasi dari kunci pribadi yang digunakan untuk memanggil fungsi kontrak pintar dengan akses terbatas. Cara terbaik adalah menggunakan desentralisasi kunci publik melalui multisignature yang mencegah satu entitas memiliki kendali penuh atas kontrak.
Pada akhirnya, pendidikan adalah salah satu kunci yang memungkinkan sistem keuangan berbasis blockchain menjadi lebih aman dan andal. Dan pendidikan harus menjadi salah satu perhatian utama mereka yang mencari pekerjaan di DeFi karena dapat menawarkan penghargaan yang menggiurkan bagi semua orang yang dapat memberikan kontribusi yang layak.
Artikel ini tidak berisi nasihat atau rekomendasi investasi. Setiap investasi dan pergerakan perdagangan melibatkan risiko, dan pembaca harus melakukan penelitian sendiri saat membuat keputusan. Pandangan, pemikiran, dan pendapat yang diungkapkan di sini adalah milik penulis sendiri dan tidak serta merta mencerminkan atau mewakili pandangan dan pendapat Cointelegraph. Dmitry Mishunin adalah pendiri dan CEO perusahaan keamanan dan analitik DeFi HashEx dan memiliki keahlian lama di bidang keamanan blockchain. Dia telah mencurahkan banyak waktu untuk kegiatan ilmiah, seperti penelitian sistem TI, blockchain, dan kerentanan di DeFi. Di bawah manajemen Dmitry, HashEx telah menjadi salah satu pemimpin di bidang audit kontrak pintar. Sumber: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi