Злом KelpDAO виявляє слабкі місця у безпеці Web3

Злом KelpDAO показав кілька слабких ліній у безпеці Web3. Найбільшою проблемою було те, що блокчейни бездоганно виконували транзакції, засновані на помилкових даних.

Безпека Web3 все ще перебуває на передовій, як спосіб відновити довіру до протоколів DeFi. Злом KelpDAO мав тривалі наслідки для кредитування у DeFi і підняв питання щодо посилення безпеки Web3.

Зломи у DeFi досягли однорічного максимуму у квітні, відкривши дискусію про ризики Web3 і кращі способи запобігання зломам. | Джерело: DeFiLlama.

Недавня хвиля зломів у квітні може змусити додатки переосмислити спосіб доступу до даних і дозволу транзакцій. Подібні зломи тривали і в травні, з $930K , втраченим у цьому місяці. Нещодавно Bisq Protocol втратив $858K через помилкову логіку протоколу та фальшиву атаку клієнта, згідно з даними DeFiLlama.

Додатки Web3 мають проблему перевірки даних

За словами Віктора Фей з Ormilabs, злом KelpDAO є яскравим прикладом того, як додаток може продовжувати працювати, навіть якщо стан блокчейну не відповідає даним.

Фей пояснив, що додатки не завжди звертаються безпосередньо до блокчейну. Замість цього вони покладаються на посередників, таких як RPC-ноді, замість сирих даних з ланцюга. Це є вимогою для Ethereum та інших старих ланцюгів, які вже не є придатними для безпосереднього доступу більшості додатків.

З обмеженим джерелом даних, міст може покладатися лише на невеликий набір RPC-нодів. Коли деякі джерела зламані або недоступні, додаток може працювати з неправильними даними, тоді як основний ланцюг все ще враховує транзакції як дійсні.

Більшість сучасних додатків Web3 не отримують доступ до ланцюга безпосередньо, а використовують різні форми індексування для отримання релевантної інформації. Це індексування може показувати помилкові дані або стати безпосереднім вектором атаки.

Злом KelpDAO повністю розкрив цю вразливість. Процес перевірки довіряв обмеженій кількості RPC-джерел, і зловмисники захопили деякі з них. З помилковим рівнем даних блокчейн обробляв транзакції як зазвичай і витрачав реальні монети в обмін на фальшивий баланс.

Проблема стає ще серйознішою, якщо агентам ШІ дозволено діяти на основі обмеженого і потенційно помилкового рівня даних.

Що може підвищити безпеку Web3?

Найбільша вразливість у зломах KelpDAO, Drift Protocol та інших недавніх випадках — швидкість виконання. Більшість транзакцій відбувалися миттєво і були підтверджені у наступному блоці, без періоду охолодження або додаткових перевірок. Web3 рекламувала свою здатність швидко виконувати без дозволу транзакції, але це також дозволяє зловмисникам швидко здійснювати свої атаки.

«Майбутнє безпеки Web3 зводиться до швидкості. Наші дані показують, що зломи та відмивання грошей швидкі і дешеві, тоді як реакція команд — повільна і дорога», — прокоментував Володислав Сиротін, керівник розслідувань у Global Ledger для Cryptopolitan.

Сиротін вважає, що проєкти Web3 мають зменшити час до виявлення, щоб виявляти незвичайні витоки, раптові падіння ліквідності або підозрілі виклики смарт-контрактів.

За словами Сиротіна, сповіщення та блокування мають автоматизуватися протягом однієї секунди після атаки, а звіти жертв і маркування даних — бути готовими протягом 10 хвилин. Зараз потрібно години або дні, щоб підрахувати загальні збитки і відстежити групи гаманців зловмисників.

Сиротін додав, що навіть повільніший час — з повідомленнями за 30 секунд і маркуванням за чотири години — може допомогти запобігти приблизно половині інцидентів і зменшити збитки.

Не просто читайте новини про криптовалюти. Розумійте їх. Підписуйтеся на нашу розсилку. Це безкоштовно.