Децентрализованная биржа — это платформа, которая специализируется на торговле цифровыми активами, такими как криптовалюты и NFT. Благодаря тому, что децентрализованная биржа, или DEX, основана на блокчейне, она может получить доступ к сети и выполнять все те же операции, что и централизованная биржа. Однако, в отличие от своего централизованного аналога, децентрализованная биржа не действует как промежуточное юридическое лицо — она позволяет пользователям взаимодействовать на одноранговой основе, предоставляя им лишь необходимый интерфейс и инфраструктурные возможности.
Все децентрализованные биржи выполняют операции, не требующие доверия, полагаясь на автоматизированные смарт-контракты, которые действуют как носители информации и активов. Такие платформы не хранят средства пользователей, поскольку очень немногие из них предоставляют собственные кошельки, а это означает, что пользователи сохраняют хранение своих активов. Последней определяющей характеристикой DEX является то, что их книги заказов не централизованы, как в базе данных централизованной биржи, а скорее распределены по всей сети, в которой они работают.
Помимо свободы от регулирования, которое действует как сдерживающий фактор для централизованных бирж, DEX могут похвастаться более высокой безопасностью – аспект, который будет обсуждаться в данном материале вместе с проблемами, с которыми приходится сталкиваться DEX.
Преимущества DEX в плане безопасности
Безопасность, обеспечиваемая децентрализованным характером DEX, начинается с нескольких основных компетенций, которые позволяют им выгодно отличаться от своих централизованных аналогов. Ниже приведены некоторые из основных преимуществ, которые предоставляют DEX:
- Высокая устойчивость к цензуре – тот факт, что DEX не имеют централизованной точки входа или юридического лица, означает, что ими невозможно управлять извне. Этот фактор освобождает их от государственной цензуры или контроля со стороны властей.
- Низкий риск контрагента – поскольку децентрализованные биржи не имеют централизованного управления, вероятность того, что пользователи столкнутся с мошенничеством или кражей их средств со стороны руководства платформы, минимальна.
- Кастодиальный характер – пользователи DEX сохраняют полный контроль над своими средствами и не передают свои приватные ключи бирже.
- Прозрачность – как и все в блокчейне, информация, которой обменивается и хэширует децентрализованная биржа, прозрачна и может быть проверена любым пользователем.
Однако основным уровнем безопасности всех децентрализованных бирж является их децентрализованный характер, который исключает риск человеческой ошибки и вмешательства. Это исключает элемент единой точки отказа, который часто является причиной взломов, происходящих на централизованных биржах. Без централизованного управления хакерам нечего атаковать, кроме хост-протокола DEX или кошельков отдельных пользователей.
Постоянные улучшения безопасности DEX
Существует множество способов, с помощью которых децентрализованные биржи постоянно повышают свою безопасность, позволяя им противостоять возникающим угрозам и бороться за звание самой безопасной торговой площадки на рынке.
- Аудит смарт-контрактов. Многие децентрализованные биржи стремятся продемонстрировать безопасность своих систем, нанимая сторонние аудиторские фирмы для проведения полной проверки их смарт-контрактов. Такие аудиты могут помочь выявить уязвимости и эксплойты. Чем авторитетнее фирма – тем выше авторитет биржи.
- Награды за обнаружение ошибок – многие биржи привлекают членов своих сообществ для проведения независимых проверок всех своих систем. Такой взгляд пользователей на работу системы помогает выявить угрозы и повысить безопасность.
- Мониторинг оракулов – DEX регулярно обновляют и проверяют свои оракулы, которые выступают в качестве источников внешней информации для платформ.
- Круглосуточная связь – наличие живого и открытого канала связи с сообществом является одним из основных факторов поддержания безопасности DEX и их репутации.
- Решения уровня 2. Добавление новых решений уровня 2 к безопасности DEX помогает снизить комиссию за газ и ускорить обработку транзакций за счет передачи большей части данных смарт-контракта над основным протоколом.
- Внешние источники — библиотеки безопасности — это сторонние источники информации, на которые DEX могут положиться для предотвращения некоторых типов атак и повышения своей безопасности.
- Кошельки с мультиподписью и 2FA. Многие DEX используют кошельки с мультиподписью и двухфакторную аутентификацию для обеспечения стандартных уровней безопасности.
Другие способы, с помощью которых децентрализованные биржи могут улучшить свою безопасность на фронтах, выходящих за рамки программного обеспечения, включают:
- Контроль пользователей – улучшая и совершенствуя пользовательский интерфейс, DEX могут значительно упростить обработку транзакций и направлять пользователей к выполнению безопасных операций. Такой подход также повышает общий уровень знаний пользователей и помогает предотвратить нарушения безопасности.
- Пулы ликвидности – накапливая пул ликвидности, DEX могут иметь достаточные ресурсы для продолжения своей деятельности и предоставления услуг пользователям. Хотя децентрализованные биржи имеют гораздо меньшую ликвидность, чем их централизованные аналоги, им все же удается накапливать необходимые объемы, предоставляя специальные стимулы пользователям, которые предоставляют необходимые средства.
- Образование. Некоторые децентрализованные биржи предоставляют подборки материалов, таких как руководства и комплексные исследования по вопросам, связанным с блокчейном, чтобы повысить уровень знаний своих пользователей. Известно, что некоторые платформы запускают образовательные курсы по блокчейну и криптовалютам.
Безопасность DEX – проблемы
Децентрализованные биржи используют множество уровней безопасности, применяемых децентрализованными биржами, но было бы уместно изучить уникальные проблемы, с которыми сталкиваются в динамичном и постоянно развивающемся пространстве блокчейнов. Среди основных угроз можно назвать следующие.
Уязвимость смарт-контракта. Смарт-контракты по своей сути уязвимы как программы и подвержены следующим типам атак:
- Реентерабельная атака — тип атаки, во время которой смарт-контракт перехватывается вызовом другой программы и подчиняется для отзыва исходного действия.
- Переполнение и недостача — случай, когда пределы данных, предписанные в смарт-контракте, превышаются или уменьшаются ниже минимума, что приводит к сбою.
- Front-run – присущая блокчейну уязвимость, возникающая из-за его прозрачной природы, позволяющая злоумышленникам предвидеть входящие транзакции и платить лимиты газа, чтобы обойти очередь и провести злонамеренные манипуляции.
- Манипулирование с помощью оракулов. Поскольку многие DEX зависят от данных, предоставляемых оракулами для выполнения смарт-контрактов, некоторые злоумышленники могут намеренно вводить ошибочные данные и тем самым изменять результаты операций.
- Неправильная реализация протокола. Хотя DEX достаточно безопасны, неправильная реализация их основных протоколов может привести к уязвимостям и эксплойтам.
- Непостоянные потери – распространенная проблема DEX, которая приводит к незначительным изменениям цен активов между моментом начала операции и ее выполнением, что связано с временем, которое требуется майнерам для фактического выполнения транзакции.
- Вытягивание ковра (rug pull) – классический случай мошенничества, когда фальшивая команда разработчиков запускает фальшивую DEX, обманом заставляет пользователей пополнять баланс своих счетов, а затем скрывается с средствами.
- Флэш-кредиты – тип атаки, когда злоумышленник объединяет большое количество сделок в смарт-контракт и манипулирует ценами токенов.
- Фишинг – стандартный тип атаки, в которой злоумышленники прибегают к методам социальной инженерии. Они рассылают поддельные электронные письма пользователям DEX, призывая их получить доступ к поддельной ссылке и сменить свои пароли, выдавая себя за команду поддержки DEX. Цель атаки — получить доступ к учетным данным пользователя и украсть средства.
Пример уязвимости DEX можно найти в случае атаки на биржу Uniswap в апреле 2023 года, когда была запущена сложнейшая сэндвич-атака, которая привела к потере более $25,2 млн из серии из 8 атак. пулы ликвидности. Сама атака была осуществлена через крупный торговый ордер, которым манипулировали обе стороны транзакции, что привело к изменению конечной цены за счет использования уязвимости в смарт-контракте DEX. Расследование показало, что злоумышленники использовали валидатор, который был специально профинансирован для взлома, чтобы намеренно манипулировать предстоящей транзакцией, что привело к выводу, что она была преднамеренной.
Ключевые выводы
Децентрализованные биржи используют тот факт, что у них нет централизованной власти. Благодаря присущим блокчейну характеристикам, таким как неизменность и прозрачность, это защищает DEX от внешнего вмешательства со стороны государственных органов и хакеров, стремящихся обойти локальные барьеры безопасности. Несмотря на высокий уровень безопасности, DEX по-прежнему подвергаются некоторым распространенным типам атак, которые основаны на небрежном характере пользователей и их невнимании к основным мерам безопасности.