คุณเห็นอะไรจากคุณลักษณะของ Exploit case ในช่วงที่ผ่านมา?

สังเคราะห์ Exploit in Crypto จำนวน 16 กรณีในเดือนพฤษภาคมและมิถุนายนที่ผ่านมา วิเคราะห์และค้นหาลักษณะที่จะคิดหาแนวทางแก้ไขเพื่อจำกัดปัญหานี้

ตั้งแต่ต้นเดือนพฤษภาคมที่ผ่านมา จำนวนคดี Exploit เพิ่มขึ้นอย่างมาก คุณเคยพยายามสังเคราะห์พวกมันและดูว่าพวกมันมีคุณสมบัติอะไรบ้าง? ถ้าไม่ บทความนี้อาจช่วยคุณได้ เริ่มจากบทความกันก่อน

Exploit คืออะไร?

Exploit เป็นคำที่ใช้เรียกการโจมตีระบบคอมพิวเตอร์ กล่าวคือ ผู้บุกรุกจะใช้ประโยชน์จากจุดบกพร่องของระบบหรือช่องโหว่ที่พวกเขาค้นพบเพื่อเจาะเข้าสู่ระบบนั้น

บทสรุปของ Exploit . events

อันดับแรก ฉันจะสรุปกิจกรรม Exploit ทั้งหมดตั้งแต่ต้นเดือนพฤษภาคมถึงปัจจุบัน

เกณฑ์สำหรับตารางนี้คือการสรุปเหตุการณ์ Exploit ตามวันที่ ชื่อโครงการ จำนวนเงินที่สูญเสีย วิธีการ Exploit (ถูกแฮ็กหรือข้อผิดพลาดของระบบ รุ่นปฏิบัติการ) ที่เกี่ยวข้องกับ Flash Loans และสุดท้าย ซึ่งโครงการบล็อคเชนถูกแฮ็ก

จากตารางด้านบน เรามีช่องโหว่ 16 รายการและสามารถจำแนกคำหลักต่อไปนี้ได้:

• ส่วนใหญ่ถูกแฮ็ก (13/16)
• ส่วนใหญ่เกี่ยวข้องกับสินเชื่อแฟลช (9/16)
• ส่วนใหญ่อยู่ใน Binance Smart Chain (BSC) (11/16)

จะวาดอะไรจากสิ่งนั้น?

เพื่อตอบคำถามข้างต้น ลองมาดูตัวเลขบางส่วนของ Ethereum, BSC และ Polygon ตั้งแต่ประมาณเดือนเมษายนถึงตอนนี้เพื่อดูว่ามีอะไรน่าสนใจบ้าง

การวิเคราะห์ข้อมูล

รวมมูลค่าล็อค (TVL)

รูปด้านล่างแสดงการเปลี่ยนแปลงรายวันของ TVL สำหรับ 3 ระบบนิเวศน์

จะเห็นได้ว่าตั้งแต่ต้นเดือนมกราคมถึงกลางเดือนพฤษภาคมเป็นยุคทองของ BSC เมื่อ TVL ทำสถิติสูงสุดที่เกือบ 30 พันล้านดอลลาร์ สิ่งนี้สามารถอธิบายได้ด้วย ความจริงที่ว่า ค่าธรรมเนียมก๊าซ ของ Ethereum นั้นสูงเกินไปก่อนหน้านี้ ทำให้ผู้ใช้ต้องหาทางเลือกอื่น ซึ่งก็คือBinance Smart Chain

แม้ว่าค่าน้ำมันประมาณต้นเดือนพฤษภาคมอาจจะเย็นลงแล้ว แต่เนื่องจากโมเมนตัมที่มีอยู่ก่อนแล้ว TVL BSC ยังคงเติบโตอย่างต่อเนื่องจนถึงกลางเดือนพฤษภาคม ซึ่งเริ่มมีสัญญาณของภาวะถดถอย

รายได้รายวัน

กำไรต่อวันยังเป็นไปตามรูปแบบเดียวกับ TVL ซึ่งตอกย้ำความจริงที่ว่ามีผู้ใช้ BSC มากขึ้น

ที่อยู่ประจำวันที่ใช้งานอยู่

เป็นอีกครั้งที่ตัวชี้วัดกระเป๋าเงินที่ใช้งานอยู่พิสูจน์ว่าจำนวนผู้ใช้เพิ่มขึ้นจริงๆ บน BSC ไม่เพียงแต่ต้นเดือนเมษายนถึงต้นเดือนพฤษภาคมเท่านั้น แต่ยังรวมถึงตอนนี้ด้วย

กลับไปที่คำถามหลัก ข้อมูลข้างต้นสามารถดึงอะไรได้บ้าง

ทำไม BSC ถึงมีกิจกรรม Exploit มากมาย?

จากที่กล่าวมา BSC กลายเป็นทางออกเดียวสำหรับค่าธรรมเนียมก๊าซสูงที่มาจาก Ethereum ตั้งแต่ประมาณเดือนกุมภาพันธ์ 2564 ดังที่แสดงโดยราคา BNB เริ่มเติบโตอย่างแข็งแกร่งดังที่แสดงด้านล่าง ความเป็นไปได้สูงที่ค่าธรรมเนียมก๊าซจะเพิ่มขึ้นอย่างมากเนื่องจากการแข่งขันของบอทในการวางธุรกรรมลงในบล็อกที่เรียกว่าMEV (Miner Extractable Value )

จากการวิเคราะห์ข้อมูลในเวลาเพียง 90 วัน TVL ของ BSC ได้เพิ่มขึ้นเป็น 23 พันล้านดอลลาร์ พร้อมกับจำนวนกระเป๋าเงินที่ใช้งานเพิ่มขึ้นเกือบ 4 เท่าในช่วงเวลานี้ ซึ่งแสดงให้เห็นว่า BSC นั้นเป็นที่นิยมอย่างมาก บวกกับแนวโน้มของ meme coin ก่อนหน้านี้ (Doge, Safemoon,...) ได้นำไปสู่สิ่งหนึ่ง: โครงการจำนวนมากขึ้นเรื่อย ๆ กำลังผุดขึ้นมาบน BSC แต่โครงการส่วนใหญ่เน้นที่ meme หรือแยกจากโครงการใหญ่ ๆ เพื่อรักษา ขึ้นกับแนวโน้ม

ผลของการ "กินทันที" นั้นได้แสดงให้เห็นในชุดของกรณี Exploit ที่กล่าวถึงข้างต้น เมื่อมากกว่า 60% ของเหตุการณ์อยู่ใน BSC เหตุผลก็คือโครงการเหล่านี้เขียนโค้ดอย่างรวดเร็วเพื่อติดตามแนวโน้ม โดยไม่เข้าใจสาระสำคัญของสิ่งที่โครงการต้องทำเพื่อป้องกันการแฮ็ก

กลับไปที่รายรับรายวัน แม้ว่าจะมีการเติบโต แต่เนื่องจากค่าธรรมเนียมถูกมาก จำนวนกำไรของโครงการใน BSC จึงไม่มากเกินไป สัญญาณที่ชัดเจนที่สุดคือจุดสูงสุดของ BSC ยังไม่ถึงจุดต่ำสุดของ Ethereum ($ 3.23M)

โดยส่วนตัวแล้ว ฉันไม่ได้ยกเว้นความเป็นไปได้ที่โปรเจ็กต์จะสร้างเคส Exploited เหล่านี้เพื่อสร้างผลกำไรให้กับทีมผู้พัฒนาเอง “ผู้ใช้สามารถฟาร์มด้วยทรัพย์สิน ผู้พัฒนาสามารถฟาร์มด้วยโครงการ” (หมายเหตุ: นี่เป็นเพียงความคิดเห็นส่วนตัว)

ส่งผลให้ความเชื่อมั่นของผู้ใช้เริ่มลดลง ส่งผลให้ TVL ของ BSC ลดลงอย่างมีนัยสำคัญ ส่วนหนึ่งก็เป็นเพราะว่ารูปหลายเหลี่ยมเริ่มโตขึ้น โดยดูดเอา TVL ส่วนหนึ่งของทั้ง Ethereum และ BSC ไป

และหากทีมพัฒนาต่อไปในลักษณะนี้ ย่อมหลีกเลี่ยงไม่ได้ที่ BSC จะถูกแฮ็กในอนาคต

เหยื่อรายต่อไปจะเป็น Polygon?

จากแผนภูมิ จะเห็นได้ง่ายว่ารูปหลายเหลี่ยม (MATIC)มีการเติบโตที่แข็งแกร่งมากระหว่างเดือนกุมภาพันธ์ถึงพฤษภาคม เช่นเดียวกับ BNB เหตุผลนี้เป็นเพราะโครงสร้างของ BSC และ Polygon นั้นคล้ายกับ Ethereum มันง่ายมากที่จะสร้างโปรเจ็กต์บนมัน แต่ค่าธรรมเนียมนั้นถูกกว่ามาก ดังนั้น Polygon จึงกลายเป็นทางเลือกแทน Ethereum เช่น BSC

หากคุณสังเกตเห็น รูปหลายเหลี่ยมจะดูเหมือน Binance Smart Chain ตัวที่ 2 เมื่อตัวบ่งชี้ทั้งหมดสนับสนุนว่า Polygon อยู่ในสถานะการพัฒนาที่แข็งแกร่ง

ดังนั้นเมื่อ "ได้กลิ่นหาเงินง่าย" บนแพลตฟอร์มใหม่ (รูปหลายเหลี่ยม) จะมีนักเก็งกำไรจำนวนมากที่พัฒนาโครงการอย่างรวดเร็วเพื่อสร้างผลกำไรโดยกลุ่มพรม, การแสวงประโยชน์, ...

และแน่นอน ปัญหาเริ่มปรากฏบน Polygon โดยมี 2 เหตุการณ์ที่โชคร้ายที่เกิดขึ้นใน 6 เดือน ได้แก่ Iron Finance และ SafeDollar ถึงแม้จะไม่ได้เกิดจากการแฮ็คทั้งคู่แต่ก็มีปัญหาในการออกแบบโมเดลไม่ทั่วถึง ในอนาคต ฉันคาดการณ์ว่าความถี่ของการแฮ็กรูปหลายเหลี่ยมจะเริ่มเพิ่มขึ้นทีละน้อยถ้าไม่มีอะไรดีขึ้น

เหตุใดการแฮ็กส่วนใหญ่จึงเกี่ยวข้องกับ Flash Loans

จากสถิติข้างต้นพบว่า 56.25% ของคดี Exploit เป็นผู้ร้ายที่ใช้ Flash Loans เป็นเครื่องมือในการแฮ็ก หลายๆ คนคงสงสัยว่าความผิดอยู่ที่ Flash Loans หรือเปล่า? แล้วคำตอบในความคิดของฉันคือไม่

สำหรับผู้ที่ไม่รู้จัก Flash Loans สามารถกล่าวได้ว่าเป็นความคิดริเริ่มที่ยอดเยี่ยมของ Crypto ซึ่งช่วยให้ผู้ใช้ทำกำไรได้อย่างรวดเร็ว คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับสินเชื่อแฟลชได้ที่นี่

นอกจากการทำกำไรแล้ว ความจริงที่ว่าผู้ใช้ซื้อขายเก็งกำไรยังช่วยแลกเปลี่ยนเพื่อปรับสมดุลราคาโทเค็น ทำให้ราคาตลาดมีเสถียรภาพ 

ในบทความก่อนหน้านี้เกี่ยวกับประโยชน์และมุมมองที่น่าสนใจเกี่ยวกับ Flash Loansที่ฉันได้ทำไปแล้ว Flash Loans มีประโยชน์อย่างลึกซึ้งที่น้อยคนนักจะคิดว่าเป็นการกรองโครงการที่อ่อนแอออกไป

Flash Loans ที่ใช้ในการแฮ็คโปรเจ็กต์มีมานานแล้ว หลังจากการแฮ็ก ไม่ใช่ทุกโครงการที่ตาย แต่มีโครงการที่พัฒนาอย่างมาก รวมถึงการแฮ็กของ Origin (OUSD) เรียนรู้เพิ่มเติมเกี่ยวกับวิธีการทำงานของ Origin เพื่อกลับเข้าสู่ชุมชนหลังจากการแฮ็กที่นี่

ด้วยเหตุผลที่กล่าวมาข้างต้น จึงกล่าวได้ว่า Flash Loans ไม่มีความผิด

อย่างไรก็ตาม Flash Loans เป็นเหมือนดาบสองคม ขึ้นอยู่กับสิ่งที่ผู้ใช้ทำ มันจะให้ผลลัพธ์ในทิศทางนั้น: 

• ผู้ใช้ที่ต้องการทำกำไรจะดำเนินการ Flash Loans ในลักษณะที่ทำกำไร
• และถ้าคุณต้องการแฮ็ค เพียงค้นหาช่องโหว่ จากนั้นใช้ Flash Loans เป็นเครื่องมือในการกู้ยืม

มีวิธีใดบ้างที่จะป้องกันสิ่งนี้? ในความคิดของฉันมันยังคงมีอยู่

วิธีจำกัดการใช้ประโยชน์และสร้างความเสียหาย

รหัสรายละเอียดเพิ่มเติม

โปรเจ็กต์ส่วนใหญ่ถูกแฮ็กเนื่องจากโปรเจ็กต์ขนาดใหญ่ ซึ่งอาจไม่เข้าใจธรรมชาติของโปรเจ็กต์หรือลักษณะของภาคส่วน นักพัฒนาซอฟต์แวร์สามารถแยก Uniswap เพื่อสร้างโครงการ AMM ใหม่ได้ แต่จริงๆ แล้วไม่เข้าใจอะไรเกี่ยวกับธรรมชาติของ AMM และปัจจัยที่ส่งผลต่ออันตรายของ AMM ด้วย

ดังนั้นสิ่งที่ต้องทำคือนอกจากจะรู้รหัสแล้ว โครงการยังต้องเพิ่มความรู้ที่เกี่ยวข้องกับภาคส่วนของตน นอกจากนี้ หากบางโครงการไม่ถูกแฮ็ก เนื่องจากกลไกไม่สมเหตุสมผล ทำให้เกิดข้อผิดพลาด จึงจำเป็นต้องเรียนรู้จากโครงการก่อนหน้านี้

ซื้อประกัน

โครงการอาจมีรหัสเป็นอย่างดี แต่ไม่ใช่เพราะว่าไม่มีปัญหา ดังนั้นการซื้อประกันจึงถือได้ว่าเป็นแผนรองรับค่าตอบแทน บางชื่อสามารถเอ่ยถึงได้ เช่น Nexus Mutual, InsurACE, ...

อย่างไรก็ตาม วิธีนี้ใช้ได้กับบางโครงการที่ได้รับการคุ้มครองโดยประกันเท่านั้น และโครงการเหล่านี้ส่วนใหญ่เป็นโครงการที่ทราบกันดีอยู่แล้ว

แล้วการประกันภัยในตลาด Crypto จะแตกต่างจากตลาดแบบดั้งเดิมอย่างไร? ใครคือผู้เข้าร่วม? ควรครอบคลุมความเสี่ยงอะไรบ้าง? ดูตอนนี้: ภาพรวมตลาด Crypto Insurance

การออกแบบโทเค็น

ในโครงการใหม่ที่ไม่ได้รับการสนับสนุนจากประกัน สามารถออกแบบ tokenomic เพื่อแบ่งรายได้จากโครงการออกเป็นหลายๆ ส่วน โดยส่วนหนึ่งจะนำไปใช้ชดเชยความเสียหายแก่ผู้ใช้หากมีความเสี่ยง ออกไป

หากโชคดีที่ไม่มีปัญหามาเป็นเวลานาน เงินจำนวนนี้สามารถทำฟาร์มได้ที่ Yield Aggregators เช่น Yearn เพื่อสร้างรายได้เพิ่มขึ้น

สรุป

การพัฒนาบล็อคเชนนอกจากจะให้โอกาสในการลงทุนแก่ผู้ใช้แล้ว ยังมีอันตรายอื่นๆ อีก กล่าวคือ ไม่เพียงแต่จะมีโครงการหลอกลวงเกิดขึ้นเท่านั้น แต่ผู้ใช้ยังต้องเผชิญกับการถูกแฮ็ก ซึ่งนำไปสู่ความสูญเสีย ความเสียหายต่อทรัพย์สิน

เมื่อพูดถึง Flash Loans นี่อาจจะยังคงเป็นคุณลักษณะที่คงไว้และพัฒนาเนื่องจากประโยชน์ที่จะได้รับ ดังนั้นจึงเป็นสิ่งสำคัญที่จะป้องกันไม่ให้ถูกแฮ็กโดย Flash Loans ที่ทีมผู้พัฒนาลงทุนเวลาและความรู้เพื่อสร้างโครงการที่มีคุณภาพ

พวกคุณคิดอย่างไรเกี่ยวกับเหตุการณ์ Exploit ล่าสุด? จะมีการแฮ็กเพิ่มเติมในอนาคตหรือไม่? คุณสามารถแสดงความคิดเห็นของคุณด้านล่าง