Ang Nakababahalang Pagtaas ng DeFi Mga Hack sa 2024 at Bakit Mahalaga ang Automated Event Handling
Sa madaling sabi
Ang DeFi nahaharap ang industriya ng mahahalagang isyu sa seguridad, na may Q3 2024 Web3 Ang Ulat sa Seguridad na nagpapakita ng $463 milyon sa mga ninakaw na pondo, na nagpapakita ng pangangailangan para sa mga pinahusay na protocol.
Ayon sa pinakahuling Q3 2024 Web3 Ulat sa Seguridad mula sa Hacken at Extractor, ang DeFi ang industriya ay nahaharap pa rin sa mga seryosong isyu sa seguridad. Kahit na ang bilang ng mga hack ay bumaba sa pinakamababang punto nito sa tatlong taon, ang epekto sa pananalapi ay makabuluhan pa rin. Sa 28 na paglitaw lamang sa ikatlong quarter ng 2024, isang kamangha-manghang $463 milyon ang nakuha, na binibigyang-diin ang kritikal na pangangailangan para sa pinahusay na mga protocol ng seguridad sa buong DeFi ecosystem.
95% ng lahat ng ninakaw na pera ay permanenteng nawala, ayon sa mga konklusyon ng ulat, na nakababahala dahil sa mga naunang quarter, 50–60% ng mga ninakaw na ari-arian ay karaniwang nabawi o nagyelo. Binibigyang-diin ng pattern na ito kung gaano kahalaga ang paglalagay ng mga matibay na hakbang sa pag-iwas at mga plano ng reaksyon pagkatapos ng insidente.
Larawan: Hacken
Automated Event Handling: Isang Makabagong Paraan
Ang mga automated na diskarte sa pagtugon sa insidente ay isa sa mga pinaka-promising na alternatibo na itinatampok ng pananaliksik. Sa pamamagitan ng makabagong real-time na pag-detect ng atake at mga kakayahan sa pagpapagaan, maaaring naiwasan ng pamamaraang ito ang humigit-kumulang tatlumpung porsyento ng lahat. DeFi pagkalugi sa nakaraang tatlong buwan. Ipinahihiwatig nito ang malaking impluwensya ng gayong mga taktika sa pagpapababa ng mga kahinaan at pagprotekta sa mga asset ng user—mga potensyal na matitipid na mahigit $25.6 milyon.
Maraming mga halimbawa sa totoong mundo ang nagpapakita ng pagiging epektibo ng awtomatikong pagtugon sa insidente. Sa isang pagkakataon, ang pagtukoy ng hindi pangkaraniwang mga withdrawal ay maaaring huminto ito sa 17% ng $12 milyon na hack sa Ronin Bridge. Sa isa pang kaso, sa pamamagitan ng agad na paghinto ng mga kontrata sa panahon ng isang nakakahamak na pag-upgrade ng proxy, maaaring ganap nitong napigilan ang $1.5 milyon na pagkawala ng Nexera. Ang mga pagkakataong ito ay nagpapakita ng pagiging epektibo ng mga automated na reaksyon at real-time na pagsubaybay sa lubhang pagpapababa ng mga pagkalugi sa pananalapi bago magkaroon ng pagkakataong ganap na magkatotoo ang isang pag-atake.
Larawan: Hacken
DeFi dapat isaalang-alang ng mga inisyatiba ang mga sumusunod na aksyon upang makabuo ng mahusay na automated na plano sa pagtugon sa insidente. Dapat muna silang mag-set up ng masusing monitoring system na may kakayahang agad na tukuyin ang mga iregularidad at posibleng mga banta. Para magawa ito, dapat maglagay ng mga alarm para sa mga kakaibang pattern ng transaksyon, biglaang pagtaas ng aktibidad, o pag-alis mula sa karaniwang gawi ng smart contract.
Pangalawa, ang mga inisyatiba ay dapat gumawa at isabuhay ang mga paunang natukoy na paraan ng reaksyon. Ang mga protocol na ito ay dapat tukuyin ang mga tiyak na hakbang na dapat gawin bilang reaksyon sa ilang mga panganib. Halimbawa, awtomatikong pagpigil sa mga kontrata kapag may napansing kaduda-dudang gawi o pansamantalang huminto sa malalaking transaksyon kapag naabot nila ang partikular na pamantayan.
Pangatlo, kailangang regular na masuri at mapabuti ang mga automated na pamamaraang ito. Kinakailangan na ang mga taktika sa pagtugon sa insidente ay na-update at pinipino sa regular na batayan upang matiyak ang pagiging epektibo ng mga ito bilang DeFi mga pagbabago sa kapaligiran at lumilitaw ang mga bagong attack vector.
Sa wakas, dapat isipin ng mga inisyatiba ang tungkol sa pagsasama-sama ng pangangasiwa ng tao sa mga awtomatikong sistema ng pagtugon sa insidente. Bagama't ang automation ay maaaring mag-alok ng mabilis na unang mga sagot, ang mga mas kumplikadong sitwasyon at ang pangangailangan na gumawa ng mga nuanced na paghuhusga sa harap ng mga posibleng alalahanin sa seguridad kung minsan ay nangangailangan ng karanasan ng tao.
Mga Audit, Bug Bountie, at Mga Pag-upgrade
Kahit na ang mga naka-automate na diskarte sa pagtugon sa insidente ay nagbibigay ng mahusay na seguridad, pinakamahusay na gumagana ang mga ito kapag ipinares sa iba pang mga hakbang sa seguridad sa pag-iwas. Ang malalim na mga pag-audit ng matalinong kontrata ay mahalaga, sabi ng pananaliksik, lalo na bago ipakilala ang mga update o mga bagong bersyon. Dahil maraming mga kahinaan ang nagreresulta mula sa minamadali o hindi sapat na nasubok na mga update, ang masusing pamamaraan ng pag-audit ay mahalaga.
Ang isa pang mahalagang elemento ng isang masusing sistema ng seguridad ay ang mga programa ng gantimpala sa bug. Sa pamamagitan ng pagbibigay ng mga insentibo para sa mga mananaliksik sa seguridad upang maayos na ibunyag ang mga kahinaan, epektibong magagamit ng mga hakbangin ang pinagsamang kaalaman ng mas malawak na komunidad. Ang pamamaraang ito ay hindi lamang nagpapadali sa pagtuklas ng mga posibleng kahinaan ngunit nililinang din ang kulturang may kamalayan sa seguridad sa buong DeFi ecosystem.
Binibigyang-diin din ng papel kung paano dapat pangasiwaan nang mabuti ang mga upgrade sa kontrata. Dahil madalas na lumalabas ang mga kahinaan sa smart contract pagkatapos mailabas ang mga bagong bersyon, mahalaga para sa mga proyekto na magtatag ng mga mahigpit na pamamaraan para sa pagsubok at pag-verify ng mga update bago ang pag-deploy. Upang makahanap ng anumang mga problema bago sila mapagsamantalahan, maaaring kailanganin nito ang mabagal na paglulunsad, matagal na pagsubok sa testnet, at ilang antas ng pagsusuri.
Ang pagpapabuti ng pribadong key security ay isang mahalagang bahagi ng pagpapababa ng mga kahinaan. Ang paggamit ng mga wallet ng hardware at mga secure na key management program ay maaaring lubos na mapababa ang posibilidad ng hindi gustong pag-access at mag-alok ng proteksyon sa virus. Dapat isipin ng mga proyekto ang pagpapakilala ng mga multi-signature na wallet para sa mga mahahalagang proseso at turuan ang mga user sa pinakamahusay na mga pangunahing pamamaraan ng pamamahala.
Pangangalaga sa Mga Pangunahing Sanhi: Paghila ng Rug at Access Control
Ang mga kompromiso sa kontrol sa pag-access ay ang pinaka-mapanganib na uri ng pag-atake, ayon sa Q3 2024 Web3 Ulat sa Seguridad, na may mga pagkalugi mula sa kanila na dalawang beses kaysa sa lahat ng iba pang pag-atake na pinagsama-sama. Binibigyang-diin nito kung gaano ito kahalaga DeFi mga protocol upang magkaroon ng malakas na mga hakbang sa pagkontrol sa pag-access sa lugar. Ang konsepto ng hindi bababa sa pribilehiyo ay dapat ilapat sa mga proyekto, na ginagarantiyahan na ang bawat bahagi ng system ay may pinakamababang halaga ng access na kinakailangan upang maisagawa ang mga tungkulin nito.
Napansin din ng survey ang pagbabago sa kapaligiran ng rug pull scam. Sa mga system tulad ng Base, Tron, at Solana, ang bilang ng mga paglulunsad ng memecoin ay tumaas habang ang mga karaniwang rug pull ay bumaba. Ipinahihiwatig ng pattern na ito na binabago ng mga con artist ang paraan ng kanilang pagpapatakbo, na tumutuon sa mga barya na mababa ang halaga na ginagaya ang pag-uugali ng paghila ng rug nang hindi nagpapakita ng anumang mga indikasyon ng tunay na aktibidad. DeFi ang mga platform at user ay dapat na mag-ingat at magpataw ng mas mahigpit na mga pamamaraan ng screening para sa pagpapakilala ng mga bagong token upang malabanan ito.
Paglikha ng isang DeFi Ecosystem na Mas Secure
Imposibleng labis na tantiyahin ang kahalagahan ng malakas na mga hakbang sa seguridad bilang ang DeFi umuunlad ang industriya. Ang Q3 2024 Web3 Ang Security Report ay isang plano para sa pagpapahusay ng seguridad at isang wake-up call sa parehong oras. Sa pamamagitan ng paggamit ng mga awtomatikong plano sa pagtugon sa insidente, komprehensibong pag-audit, bug bounty, at maingat na pamamahala ng mga update at kontrol sa pag-access, DeFi maaaring kapansin-pansing babaan ng mga proyekto ang kanilang pagiging sensitibo sa pag-atake.
Bilang karagdagan, ang industriya sa kabuuan ay kailangang magsikap na isulong ang kulturang may kamalayan sa seguridad. Kabilang dito ang pagtuturo sa mga user tungkol sa mga potensyal na panganib at pinakamahuhusay na kagawian bilang karagdagan sa pagpapatupad ng mga teknolohikal na solusyon. Mahalaga para sa mga proyekto, kumpanya ng seguridad, at pangkalahatang publiko na magtulungan upang mahanap ang mga kahinaan at ayusin ang mga ito bago sila mapagsamantalahan.
Pagtanggi sa pananagutan
Sa linya na may Mga alituntunin ng Trust Project, pakitandaan na ang impormasyong ibinigay sa pahinang ito ay hindi nilayon at hindi dapat bigyang-kahulugan bilang legal, buwis, pamumuhunan, pananalapi, o anumang iba pang paraan ng payo. Mahalagang mamuhunan lamang kung ano ang maaari mong mawala at humingi ng independiyenteng payo sa pananalapi kung mayroon kang anumang mga pagdududa. Para sa karagdagang impormasyon, iminumungkahi naming sumangguni sa mga tuntunin at kundisyon pati na rin sa mga pahina ng tulong at suporta na ibinigay ng nagbigay o advertiser. MetaversePost ay nakatuon sa tumpak, walang pinapanigan na pag-uulat, ngunit ang mga kondisyon ng merkado ay maaaring magbago nang walang abiso.
Tungkol sa Ang May-akda
Si Victoria ay isang manunulat sa iba't ibang paksa ng teknolohiya kabilang ang Web3.0, AI at mga cryptocurrencies. Ang kanyang malawak na karanasan ay nagpapahintulot sa kanya na magsulat ng mga insightful na artikulo para sa mas malawak na madla.
Mas marami pang artikuloSi Victoria ay isang manunulat sa iba't ibang paksa ng teknolohiya kabilang ang Web3.0, AI at mga cryptocurrencies. Ang kanyang malawak na karanasan ay nagpapahintulot sa kanya na magsulat ng mga insightful na artikulo para sa mas malawak na madla.