حوزه دیفای (DeFi) با سرعت زیادی در حال پیشرفت است. سه سال پیش ارزش کل داراییهای قفل شده در دیفای تنها ۸۰۰ میلیون دلار بود، اما این رقم تا ماه فوریه سال ۲۰۲۱ به ۴۰ میلیارد دلار افزایش پیدا کرد. جالب است بدانید در آوریل ۲۰۲۱، ارزش کل داراییهای دیفای به ۸۰ میلیارد دلار رسید و در حال حاضر به بیش از ۱۴۰ میلیارد دلار هم افزایش یافته است. مسلماً این پیشرفت سریع در چنین بازاری توجه هکرها و کلاهبرداران را به طرف خود معطوف میکند.
تحقیقاتی که در حوزه کریپتو از سال ۲۰۱۹ انجام شد، موارد هک شدن بخش دیفای را مورد بررسی قرار داده و نشان داد این پروتکل حدود ۲۸۴٫۹ میلیون دلار را به دلیل هک و سایر موارد کلاهبرداری از دست داده است. هکرها محیطهای بلاکچین را بهترین فضا برای سوء استفاده و کلاهبرداری میدانند، زیرا چنین محیطهایی ناشناس هستند و به راحتی میتوان پول زیادی از صاحبان آنها کلاهبرداری کرد. به عنوان مثال، در ۴ ماه اول سال ۲۰۲۱ خسارتی که در اثر هک شدن پروتکلهای دیفای برآورد شد، حدود ۲۴۰ میلیون دلار بود. البته تخمین زده میشود زیان واقعی میلیاردها دلار بیشتر باشد.
استفاده نادرست از پروتکل های شخص ثالث و خطاهای منطقی تجاری
اصولاً برای هر حمله در ابتدا باید قربانی را تجزیه و تحلیل کرد. فناوری بلاکچین فضای مناسبی برای هکرها فراهم میکند. هکرها می توانند با داشتن مهارت و دانش لازم در خصوص برنامه نویسی و نحوه عملکرد قراردادهای هوشمند در فضای بلاکچین، به سرعت اقدام به هک کردن اطلاعات نمایند. به عنوان مثال یک هکر حرفه ای میتواند یک نسخه مشابه بلاکچین اصلی طراحی و اجرا کرده، معاملات را مشابه یک شبکه واقعی انجام دهد و از افراد کلاهبرداری نماید.
علاوه بر این، هکرها باید در خصوص نحوه عملکرد پروژه اطلاعات کافی را داشته باشند. بنابراین با دانش کافی در زمینه برنامه نویسی و خدمات شخص ثالث به راحتی میتوانند از افراد کلاهبرداری کنند. خدمات شخص ثالث خدماتی است که بیشتر استفاده کنندگان از قراردادهای هوشمند در زمان معامله باید از آنها استفاده کنند. متاسفانه این خدمات در محیط امنی ارائه نمیشوند و استفاده از این خدمات خطر هک شدن را به همراه دارد. تحقیقات انجام گرفته از تابستان سال ۲۰۲۰ نشان میدهد تنها ده مورد هک که در حوزه خدمات شخص ثالث صورت گرفته، ضرری معادل ۵۰ میلیون دلار به همراه داشته است.
اشتباهات برنامه نویسی
قراردادهای هوشمند مفهوم نسبتاً جدیدی است که در دنیای فناوری اطلاعات (IT) مورد استفاده قرار میگیرد. زبانهای برنامه نویسی که برای قراردادهای هوشمند مورد استفاده قرار میگیرند، الگوی متفاوتی دارند. متاسفانه عدهای از توسعه دهندگان فضای بلاکچین، مهارت برنامهنویسی کافی را ندارند و اشتباهاتی در برنامه نویسی این قراردادها انجام میدهند که موجب تسهیل راه هکرها میشود.
متاسفانه بیشتر پلتفرمهای فعال در زمینه بلاکچین مسئولیتی در قبال خدماتی که ارائه میدهند ندارند و به همین دلیل گزارشات نشان میدهد که بیش از ۱۰۰ پروژه به دلیل اشتباهات برنامه نویسی در معرض خطر هک شدن قرار گرفته و ضرری حدود ۵۰۰ میلیون دلار به بار آورده است. به عنوان مثال هکرها در نوزدهم آوریل ۲۰۲۰ شرکت dForce را هک کردند و موحب خسارت ۲۵ میلیون دلاری شدند.
وام سریع (Flash loans)، دستکاری قیمت و حملات ماینرها
نکتهای که باعث طیف وسیعی از حملات هکرها میشود این است که اطلاعات ارائه شده در قراردادهای هوشمند از دستکاریهای خارجی مصون نیست.
فلش لونها، اولین امتیاز وامهای بدون وثیقهای هستند که در دیفای به کاربران داده میشود و این افراد باید کریپتوهایی که از وامدهنده قرض گرفتهاند را در موعد مقرر پس دهند. اگر وام گیرنده نتواند این کار را انجام دهد، معامله لغو میشود. بنابراین چنین وامهایی موجب میشود وام گیرنده بتواند مقدار زیادی ارز دیجیتال را دریافت کرده و از آنها استفاده نماید. حملاتی که فلش لونها را تحت تاثیر قرار میدهد دستکاری قیمتها است. هکرها میتوانند تعداد زیادی توکن را وام بگیرند، آن ها را در یک معامله بزرگ بفروشند و در نتیجه قیمت آنها را کاهش داده و مجدداً بتوانند با ارزش بسیار پایین توکن خریداری نمایند.
حملات ماینرها پیچیدهتر است و ضررهای بیشتری را به دنبال دارد. در این حملات هکرها ظرفیتهای ماینینگ را در دست میگیرند و یک بلوک مختص معاملات مورد نیاز خود ایجاد میکنند. در این بلوک آنها میتوانند توکن وام بگیرند، قیمت ها را دستکاری کنند و این توکنها را باز پس دهند. این نوع از حملات توسط هکرها بسیار مورد استفاده قرار میگیرد و مجموعه ضرر آن ها حدود یک میلیارد دلار تخمین زده میشود.
متاسفانه تعداد حملات هکرها به مرور زمان افزایش یافته است. به عنوان مثال در اوایل سال ۲۰۲۰ خسارت هکرها ۱۰۰ هزار دلار گزارش شد که تا پایان سال این مبلغ به ۱۰ میلیون دلار افزایش پیدا کرد.
عدم صلاحیت توسعه دهندگان
زیان بارترین نوع حملات هکرها در اثر خطاهای انسانی رخ میدهد. مردم برای به دست آوردن سود زیاد و فوری به سراغ پروتکلهای دیفای میروند. متاسفانه بسیاری از این افراد صلاحیت و دانش کافی را ندارند و شروع به راه اندازی پروژه و استفاده از قراردادهای هوشمند میکنند که در نتیجه به طعمهای ساده برای هکرها تبدیل میشوند.
پروتکل Rfl safemoon یکی از نمونههای این مسئله است که در اثر حمله هکرها زیانی بالغ بر ۲ میلیارد دلار را متحمل شد.