Karena sektor DeFi terus menarik uang dan pengguna, aktor jahat dari seluruh dunia terus melihatnya sebagai target menarik yang siap untuk dipetik dan tidak terlindungi dengan baik.
Selama beberapa bulan terakhir, saya telah melacak beberapa eksploitasi protokol DeFi yang paling menonjol, dan setidaknya tujuh di antaranya tampaknya merupakan akibat dari kelemahan kontrak pintar saja.
Misalnya, peretas memukul dan merampok Wormhole, mencuri lebih dari $300 juta, Qubit Finance ($80 juta), Meter ($4.4 juta), Deus ($3 juta), TreasureDAO (lebih dari 100 NFT), dan terakhir, Agave and Hundred Finance yang, bersama-sama , kehilangan total $11 juta. Semua serangan ini mengakibatkan pencurian uang dalam jumlah yang cukup besar, menyebabkan kerusakan besar pada proyek.
Banyak protokol yang ditargetkan telah melihat devaluasi mata uang kripto mereka, ketidakpercayaan oleh pengguna, kritik mengenai keamanan DeFi dan kontrak pintar, dan konsekuensi negatif serupa.
Jenis eksploitasi apa yang terjadi selama serangan?
Secara alami, masing-masing kasus ini unik, dan berbagai jenis eksploitasi digunakan untuk menangani setiap proyek individu, tergantung pada kerentanan dan kekurangannya. Contohnya termasuk kesalahan logika, serangan reentrancy, serangan flashloan dengan manipulasi harga, dan banyak lagi. Saya percaya bahwa ini adalah hasil dari protokol DeFi yang menjadi lebih kompleks, dan seperti yang terjadi, kompleksitas kode membuatnya semakin sulit untuk membersihkan semua kekurangannya.
Selain itu, saya memperhatikan dua hal saat menganalisis masing-masing insiden ini. Yang pertama adalah peretas berhasil lolos dengan jumlah besar setiap saat — bernilai jutaan dolar dalam kripto.
“Hari gajian” ini memberikan insentif kepada para peretas untuk menghabiskan waktu yang diperlukan untuk mempelajari protokol, bahkan berbulan-bulan, karena mereka tahu bahwa imbalannya akan sepadan. Itu berarti para peretas termotivasi untuk menghabiskan lebih banyak waktu mencari kekurangan daripada auditor.
Hal kedua yang menonjol adalah, dalam beberapa kasus, peretasan sebenarnya sangat sederhana. Ambil serangan Seratus Keuangan sebagai contoh. Proyek ini terkena menggunakan bug terkenal yang biasanya dapat ditemukan di garpu Senyawa jika token ditambahkan ke protokol. Yang perlu dilakukan peretas hanyalah menunggu sampai salah satu token ini ditambahkan ke Hundred Finance. Setelah itu, yang diperlukan hanyalah mengikuti beberapa langkah sederhana untuk menggunakan exploit untuk mendapatkan uang.
Apa yang dapat dilakukan proyek DeFi untuk melindungi diri mereka sendiri?
Ke depan, hal terbaik yang dapat dilakukan proyek-proyek ini untuk melindungi diri mereka dari aktor jahat adalah dengan fokus pada audit. Semakin mendalam, semakin baik, dan dilakukan oleh para profesional berpengalaman yang tahu apa yang harus diperhatikan. Namun, ada hal lain yang dapat dilakukan proyek, bahkan sebelum beralih ke audit, dan itu adalah untuk memastikan bahwa mereka memiliki arsitektur yang baik yang dibuat oleh pengembang yang bertanggung jawab.
Ini sangat penting karena sebagian besar proyek blockchain adalah open-source, yang berarti bahwa kode mereka cenderung disalin dan digunakan kembali. Ini mempercepat segalanya selama pengembangan, dan kodenya gratis untuk diambil.
Masalahnya adalah jika ternyata itu cacat, dan itu akan disalin sebelum pengembang asli mengetahui kerentanan dan memperbaikinya. Bahkan jika mereka mengumumkan dan menerapkan perbaikan, mereka yang menyalinnya mungkin tidak melihat berita, dan kode mereka tetap rentan.
Berapa banyak audit yang benar-benar dapat membantu?
Kontrak pintar berfungsi sebagai program yang berjalan pada teknologi blockchain. Dengan demikian, ada kemungkinan bahwa mereka cacat dan mengandung bug. Seperti yang saya sebutkan sebelumnya, semakin kompleks kontraknya — semakin besar kemungkinan bahwa satu atau dua cacat lolos dari pemeriksaan pengembang.
Sayangnya, ada banyak situasi di mana tidak ada solusi mudah untuk memperbaiki kekurangan ini, itulah sebabnya pengembang harus meluangkan waktu mereka dan memastikan bahwa kode tersebut dilakukan dengan benar dan bahwa kekurangannya segera ditemukan atau setidaknya sedini mungkin.
Di sinilah audit masuk, karena jika Anda menguji kode dan mendokumentasikan kemajuan pengembangan dan pengujiannya secara memadai, Anda dapat menyingkirkan sebagian besar masalah sejak dini.
Tentu saja, bahkan audit tidak dapat memberikan jaminan 100% bahwa tidak akan ada masalah dengan kode tersebut. Tidak ada yang bisa. Bukan kebetulan bahwa peretas membutuhkan waktu berbulan-bulan untuk mengetahui kerentanan terkecil yang dapat mereka gunakan untuk keuntungan mereka — Anda tidak dapat membuat kode yang sempurna dan membuatnya berguna, terutama dalam hal teknologi baru.
Audit memang mengurangi jumlah masalah, tetapi masalah sebenarnya adalah banyak proyek yang terkena peretas bahkan tidak memiliki audit sama sekali.
Jadi, untuk setiap pengembang dan pemilik proyek yang masih dalam proses pengembangan, ingatlah bahwa keamanan tidak datang dari lulus audit. Namun, itu pasti dimulai di sana. Kerjakan kode Anda; pastikan bahwa ia memiliki arsitektur yang dirancang dengan baik dan pengembang yang terampil dan rajin mengerjakannya.
Pastikan semuanya diuji dan didokumentasikan dengan baik, dan gunakan semua sumber daya yang Anda inginkan. Hadiah bug, misalnya, adalah cara yang bagus untuk memeriksa kode Anda oleh orang-orang dari sudut pandang peretas, dan perspektif baru dari seseorang yang mencari jalan masuk bisa sangat berharga dalam mengamankan proyek Anda.
Pos tamu oleh Gleb Zykov dari HashEx
Gleb memulai karirnya dalam pengembangan perangkat lunak di sebuah lembaga penelitian, di mana ia memperoleh latar belakang teknis dan pemrograman yang kuat, mengembangkan berbagai jenis robot untuk Kementerian Situasi Darurat Rusia.
Kemudian Gleb membawa keahlian teknisnya ke perusahaan layanan TI GTC-Soft, di mana ia merancang aplikasi Android. Dia pindah untuk menjadi pengembang utama dan setelah itu, CTO perusahaan. Di GTC, Gleb memimpin pengembangan berbagai layanan pemantauan kendaraan dan layanan serupa Uber untuk taksi premium. Pada tahun 2017 Gleb menjadi salah satu pendiri HashEx – perusahaan audit dan konsultan blockchain internasional. Gleb memegang posisi Chief Technology Officer, mempelopori pengembangan solusi blockchain dan audit kontrak pintar untuk klien perusahaan.
Sumber: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/