Đánh giá rủi ro tài chính phi tập trung (DeFi)

administrator

3 năm trước

Tổng quan

Rủi ro trong DeFi có thể được chia thành ba loại:

Rủi ro tài chính là liên quan đến việc so sánh rủi ro tiềm ẩn và phần thưởng liên quan đến các cơ hội đầu tư khác nhau để xây dựng danh mục đầu tư thành công phù hợp với khả năng chấp nhận rủi ro của một cá nhân hoặc tổ chức.
Rủi ro kỹ thuật là đề cập đến việc đánh giá các lỗ hổng tiềm ẩn trong phần cứng và phần mềm của một sản phẩm hoặc dịch vụ.
Rủi ro thủ tục có thể được coi là tương tự như rủi ro kỹ thuật, nhưng thay vì xem xét một sản phẩm hoặc dịch vụ thì rủi ro thủ tục kiểm tra các cách mà người dùng có thể bị thao túng để sử dụng sản phẩm theo những cách không mong muốn có thể ảnh hưởng đến sự an toàn của họ.

1. Rủi do Thủ tục

Một trong những hình thức hack thủ tục phổ biến mà hầu hết chúng ta đều nhận ra là tấn công lừa đảo.

Khi thực hiện một cuộc tấn công lừa đảo, một tin tặc sẽ bắt đầu bằng cách thực hiện hành động như sao chép một trang web phổ biến hoặc soạn một email trông giống như từ một tổ chức đáng tin cậy như ngân hàng hoặc nhà cung cấp dịch vụ chăm sóc sức khỏe. Sau đó, hacker sẽ sử dụng nội dung này để lừa nạn nhân tiết lộ thông tin nhạy cảm bằng các công cụ như biểu mẫu đăng ký hoặc đăng nhập giả mạo. Sau đó, thông tin của bạn có thể được bán trên dark web hoặc được sử dụng để ăn cắp hoặc tống tiền theo những cách khác.

Các cá nhân được biết là sở hữu tiền điện tử thường là nạn nhân của các tin nhắn lừa đảo từ những kẻ tấn công, những người giả danh là nhà cung cấp ví hoặc sàn giao dịch kỹ thuật số. Ví dụ: một tin tặc có thể mạo danh một nhân viên trợ giúp và trích xuất đủ thông tin đăng nhập bằng quy trình “xác minh tài khoản” để sau đó quay lại và đánh cắp tiền của người dùng.

Các cách hay nhất để bảo vệ tài sản kỹ thuật số

Với rất nhiều loại và thương hiệu ví kỹ thuật số, trình tổng hợp và sản phẩm DeFi khác nhau, có thể khó biết bắt đầu từ đâu. Dưới đây là một số điều quan trọng cần ghi nhớ trước khi tải xuống ví kỹ thuật số mới hoặc giải pháp DeFi.

Luôn chọn các sản phẩm và dịch vụ đã được kiểm chứng

Các cuộc tấn công bằng mồi là một ví dụ tuyệt vời về lý do tại sao điều quan trọng là phải cẩn thận khi tải và điều hướng các ứng dụng và trang web không quen thuộc.

Việc nghiên cứu độ tin cậy của các sản phẩm phi tập trung có thể cực kỳ khó khăn do thiếu các phương pháp tốt nhất cho những thứ như bảo mật hợp đồng thông minh. Nếu bạn không cảm thấy thoải mái khi thực hiện những công việc như kiểm toán bảo mật hợp đồng thông minh, tốt nhất bạn nên áp dụng các giải pháp phổ biến hoặc tìm kiếm ý kiến của các chuyên gia đáng tin cậy trước khi thử nghiệm với phần mềm không quen thuộc.

Sử dụng các ví lưu trữ thích hợp

Khi lưu trữ tài sản kỹ thuật số, điều quan trọng là phải xem xét ví kỹ thuật số nào bạn muốn sử dụng.

Lưu trữ nóng là giải pháp ví kỹ thuật số trong đó khóa cá nhân bảo mật ví có thể được truy cập trực tuyến trong khi thực hiện các hoạt động như ký giao dịch. Ví điện thoại di động, máy tính để bàn và ví dựa trên trình duyệt là những ví dụ điển hình về các giải pháp lưu trữ nóng.
Ví lạnh là giải pháp ví kỹ thuật số không cho phép truy cập vào khóa cá nhân trên Internet. Ví giấy và ví cứng là những ví dụ phổ biến nhất về các giải pháp lưu trữ lạnh.

Luôn sử dụng xác thực đa yếu tố

Ngoài việc tạo tên người dùng và mật khẩu, điều quan trọng là phải thiết lập bất kỳ quy trình xác thực đa yếu tố nào được hỗ trợ bởi giải pháp ví kỹ thuật số của bạn. Quy trình xác thực đa yếu tố có thể bao gồm:

Mã hai yếu tố là mã nhạy cảm về thời gian được đặt lại sau một khoảng thời gian ngắn, có thể được gửi qua SMS (văn bản) hoặc một ứng dụng như Google Authenticator hoặc Authy. Các ứng dụng thường được ưu tiên hơn SMS, vì các mã được gửi qua SMS sẽ dễ bị tấn công ngay cả khi bị tấn công hoán đổi SIM.
Xác nhận email thường có thể được sử dụng để xác nhận đăng nhập và rút tiền từ ví.
Xác thực nhiều chữ ký có thể được định cấu hình để yêu cầu cung cấp khóa “m trong số n” để bắt đầu giao dịch. Nói cách khác, hệ thống có thể cần 3 trong số 8 khóa để chuyển tiền – người dùng có thể chỉ định số lượng khóa cần có (m) và tổng số khóa tồn tại (n).

Cập nhật phần mềm của bạn

Các nhà cung cấp phần mềm hiệu quả liên tục cung cấp các bản cập nhật, bao gồm các bản sửa lỗi và bản vá cho các lỗ hổng mới được phát hiện. Ngoài việc cập nhật phần mềm ví kỹ thuật số, bạn nên tải các bản cập nhật phần mềm và trình điều khiển mới nhất xuống máy tính và điện thoại thông minh của mình.

Luôn giữ một bản sao lưu

Nhiều ví kỹ thuật số cho phép người dùng tạo bản sao lưu dưới dạng cụm từ ban đầu, tệp JSON hoặc đơn giản bằng cách để lộ khóa cá nhân. Bất kỳ ví nào chứa nhiều tiền hơn số tiền mà người dùng có thể bị mất nên được sao lưu ở một nơi an toàn.

Các cụm từ hoặc bản sao gốc của khóa cá nhân của bạn phải được viết bằng cách sử dụng phương tiện chống thời tiết và tuổi tác như khắc kim loại hoặc mực trên giấy được niêm phong trong túi nhựa và các tệp JSON phải được lưu trữ trên thẻ USB được bảo vệ bằng mật khẩu và KHÔNG được để trong tệp Google Drive hoặc máy tính cá nhân.

2. Rủi ro tài chính

Rủi ro tài chính có thể được định nghĩa là khả năng mất tiền. Như đã đề cập trước đó, rủi ro tài chính là đánh giá rủi ro tiềm ẩn và phần thưởng của một khoản đầu tư so với các cơ hội đầu tư khác có sẵn.

Các vấn đề rủi ro trong bối cảnh khác nhau: cá nhân, doanh nghiệp và công chúng.

Tài chính cá nhân nghiên cứu cách mọi người và gia đình kiếm và quản lý tiền.
Tài chính doanh nghiệp kiểm tra cách thức các công ty tạo ra và quản lý tiền.
Tài chính công xem xét cách các chính phủ thu thập và phân phối quỹ.

Các giải pháp DeFi có thể được áp dụng trong bất kỳ bối cảnh nào trong số này, nhưng với mục đích của chúng tôi, chúng tôi sẽ tập trung vào DeFi trong bối cảnh tài chính cá nhân, vì đây là dịch vụ đạt được nhiều tiến bộ nhất.

Phân tích kỹ thuật và cơ bản là hai công cụ mà chúng ta thường nghe đến.

Phân tích kỹ thuật liên quan đến việc sử dụng các chỉ số toán học để tạo ra các biểu đồ tiết lộ các mô hình được sử dụng để xác định các cơ hội đầu tư.
Phân tích cơ bản đề cập đến quá trình kiểm tra đề xuất giá trị của một khoản đầu tư và các chỉ số và tỷ lệ khác nhau được sử dụng để đánh giá sức khỏe tài chính của một đề xuất, thường là trong bối cảnh xác định giá trị của một doanh nghiệp.

Ngoài các giao thức được xác định bởi các chiến lược đầu tư cơ bản và kỹ thuật khác nhau, các nhà đầu tư có nhiều chỉ số khác nhau mà họ sử dụng làm cơ sở để so sánh các cơ hội đầu tư khác nhau.

Cơ hội đầu tư: CeFi vs DeFi

Bây giờ ta nói về cách “tài chính tập trung” (CeFi) liên quan đến rủi ro, hãy nói về các cơ hội đầu tư có sẵn trong DeFi.

DeFi stablecoin và các giao thức cho vay là những cơ hội đầu tư lớn được DeFi công nhận. Dự báo thị trường và các hình thức giới hạn của các sản phẩm phái sinh cũng có sẵn, nhưng các giao thức cho vay DeFi có xu hướng là một sản phẩm khuyến khích mọi người xem DeFi như một cơ hội đầu tư.

Mặc dù stablecoin thường được sử dụng bởi các sàn giao dịch và sàn giao dịch kỹ thuật số như một cách để có một loại tiền kỹ thuật số có mệnh giá fiat có thể được sử dụng để giao dịch, các giao thức cho vay cho phép người dùng gửi tiền điện tử làm tài sản thế chấp và nhận lãi cũng như trả lãi để vay tài sản kỹ thuật số.

Gần đây, các giao thức cho vay tự động đang thu hút rất nhiều sự chú ý trong không gian blockchain khi chúng cung cấp mức lãi suất ấn tượng lên tới ~ 30%.

Đầu tư có thể tăng trưởng về số lượng tiền tích lũy, nhưng nếu mức tăng trưởng này nhỏ hơn tỷ lệ lạm phát, khoản đầu tư được coi là mất giá trị hoặc sức mua.

3. Rủi ro kỹ thuật

Khi kiểm tra các giải pháp DeFi,các lỗ hổng kỹ thuật chúng ta cần xem xét phần mềm “phổ biến”, các hợp đồng thông minh được triển khai trên blockchain hoặc sổ cái phân tán và phần cứng được sử dụng để tương tác với tất cả phần mềm đó.

Phân loại rủi ro

Cho dù chúng ta nghĩ về những rủi ro trong phần mềm “thông thường”, hợp đồng thông minh hay phần cứng, thì những rủi ro chính cần đề phòng là:

An toàn bộ nhớ giải quyết các vấn đề có thể làm gián đoạn truy cập bộ nhớ, bao gồm lỗi truy cập, biến chưa khởi tạo và rò rỉ bộ nhớ. Các ví dụ phổ biến bao gồm tràn bộ đệm, con trỏ treo và cạn kiệt ngăn xếp.
Điều kiện sự kiện xảy ra khi kết quả của một sự kiện phụ thuộc vào trình tự hoặc thời gian của các sự kiện khác. Khả năng khởi chạy sớm là một sai lầm quan trọng cần lưu ý khi làm việc với các hợp đồng thông minh.
Việc sử dụng sai API có thể xảy ra từ tài liệu kém hoặc phân mảnh dễ dàng như do bất cẩn.
Trường hợp sử dụng không chính xác và xử lý ngoại lệ xảy ra khi trải nghiệm người dùng và thử nghiệm không đủ để đảm bảo tính toán đầy đủ.
Quá trình xử lý I / O phải được định cấu hình chính xác để đảm bảo rằng giao tiếp giữa các thiết bị và tệp không thể bị thao túng hoặc sử dụng theo những cách bất chính.

Rủi ro của hợp đồng thông minh

Một trong những tính năng giúp phân biệt hợp đồng thông minh với phần mềm khác là phần mềm “thông thường” chạy trên máy tính hoặc được lưu trữ trên máy chủ và có sẵn cho từng máy tính. Mặt khác, hợp đồng thông minh được triển khai trên blockchain hoặc một số dạng sổ cái phân tán khác như một giao dịch và cung cấp các quy tắc về cách phần mềm “thông thường” và sổ cái phân tán tương tác.

Là một công nghệ tương đối mới, các phương pháp hay nhất để đảm bảo hợp đồng thông minh vẫn đang được phát triển, nhưng đây là một số lỗ hổng chính cần chú ý:

Việc buộc gửi ether vào một hợp đồng có thể gây ra những hậu quả không lường trước được cho các hợp đồng thông minh, bao gồm cả việc tự hủy hợp đồng.
Khởi chạy trước có nghĩa là khả năng kẻ tấn công theo dõi các giao dịch trong mempool chưa được đưa vào khối và sử dụng thông tin này để kiểm soát kết quả của sự kiện.
Ví dụ: kẻ tấn công có thể thấy một giao dịch đang được thực hiện bởi một sàn giao dịch phi tập trung và nhanh chóng gửi một giao dịch hoặc một loạt giao dịch để thực hiện giao dịch của chính họ với phí gas cao hơn để “chạy” giao dịch đầu tiên và đảm bảo rằng giao dịch thứ hai là được viết trước cái đầu tiên.
Không đủ gas xảy ra khi những kẻ tấn công bắt đầu giao dịch với đủ gas để hoàn thành giao dịch, nhưng không đủ gas để hoàn thành lệnh gọi phụ có trong giao dịch.
Tràn và tràn số nguyên có thể xảy ra khi một bộ mã bỏ qua uint đó có giá trị tối đa là 2²⁵⁶, sau đó nó được đặt lại về 0.
Thử lại xảy ra khi một hợp đồng bên ngoài chặn dòng sự kiện dự kiến để thực hiện các thay đổi ngoài ý muốn đối với dữ liệu. Vụ hack DAO khét tiếng năm 2016 liên quan đến việc đánh cắp 50 triệu đô la Ether xảy ra do một kẻ tấn công hoặc các nhóm kẻ tấn công khai thác lỗ hổng xâm nhập lại.
Sự phụ thuộc vào dấu thời gian đề cập đến thực tế là các thợ đào có thể kiểm soát dấu thời gian của một khối. Các hàm sử dụng dấu thời gian có thể dễ bị thao túng nếu không được mã hóa đúng cách.

Rủi ro phần cứng

Nếu một ứng dụng phi tập trung (dApp) không bao gồm một cái gì đó như ví phần cứng hoặc “thẻ ghi nợ tiền điện tử”, bạn sẽ dễ dàng quên đi các lỗ hổng tiềm ẩn liên quan đến phần cứng được sử dụng để giao tiếp với dApps.

Một số lỗ hổng chính cần xem xét khi đánh giá rủi ro liên quan đến các thành phần phần cứng liên quan đến một sản phẩm là:

Không tương thích xảy ra khi các thiết bị phần cứng không được định cấu hình để hoạt động cùng nhau hoặc không được cài đặt trình điều khiển để cho phép chúng hoạt động cùng nhau.
Sự cố về điện có thể xảy ra khi ổ cắm điện cung cấp điện áp không ổn định. Cho dù đó là điện áp tăng đột biến, điện áp thấp hoặc bù tần số, sự dao động trong nguồn cung cấp điện có thể gây bất lợi.
Nhạy cảm với độ ẩm, bụi, xuống cấp và lưu trữ không được bảo vệ có thể khiến sản phẩm hoạt động bất thường hoặc ngừng hoạt động hoàn toàn.
Lỗi điện áp (còn được gọi là chèn lỗi) liên quan đến việc can thiệp vào phần cứng như đồng hồ và cảm biến nhiệt độ theo cách đánh lừa phần mềm hoạt động không chủ ý. Lỗ hổng ví phần cứng Keepkey được Kraken phát hiện có liên quan đến việc tăng điện.