Displaying items by tag: Инвестиции

21 сентября 2022 года, вышел в свет 4-й номер журнала "Информационная безопасность". В нём была опубликована статья члена АРСИБ, CISA, эксперта по кибербезопасности инфраструктуры блокчейнов и противодействию мошенничеству в сфере оборота криптовалют, Александра Подобных — Смарт-контракты и вопросы безопасности (в разделе Технологии \ Безопасная разработка).

Сарт-контракт – это приложение, использующее блокчейн и выступающее в качестве цифрового соглашения, подкрепляемого набором правил. Смарт-контракты не являются договорами в юридическом смысле в большинстве юрисдикций, включая российскую. Это всего лишь приложение, удовлетворяющее формальным требованиям и запущенное в распределенной системе блокчейна. Смарт-контракты делают транзакции отслеживаемыми, прозрачными и необратимыми. Результатом выполнения контракта может быть обмен активами между сторонами.

Смарт - контракты имеют обширную область применения не только в финансовом секторе, но и в иных отраслях экономики, и мировой тренд на цифровизацию является одним из основополагающих драйверов развития этого инструмента. Смарт-контракты позволяют создавать протоколы коммуникации, не требующие априорного доверия между сторонами. Участники процесса могут быть уверены, что контракт будет выполнен только при соблюдении всех условий, в нем предусмотренных.

Кроме того, использование смарт-контрактов избавляет от необходимости в посредниках, значительно снижая расходы на проведение операций. Каждый блокчейн может использовать собственный способ реализации смарт-контрактов. Например, в сети Ethereum для написания смарт-контрактов используется язык Solidity.

С точки зрения разработчика, Solidity легко читается практически любым программистом и на первых шагах обманчиво кажется простым. Кроме кода, смарт-контракты содержат два публичных ключа, один из которых предоставлен создателем контракта, а другой является цифровым идентификатором, уникальным для каждого смарт-контракта.

Неизменность смарт-контрактов

Поскольку смарт-контракты работают в рамках неизменяемой децентрализованной блокчейн-сети, их результаты нельзя подделать ради неправомерного извлечения выгоды. Но неизменность является не только достоинством, но и недостатком. Например, в 2016 г. хакеры взломали децентрализованную автономную организацию The DAO и украли эфиры (валюта сети Ethereum) на миллионы долларов, воспользовавшись уязвимостями в коде смарт-контракта. Поскольку смарт-контракт The DAO был неизменным, разработчики не смогли исправить код.

В результате сеть Ethereum приняла решение откатить ситуацию до момента взлома, вернуть средства законным владельцам, и этот форк является частью текущего блокчейна Ethereum. В то время как оригинальная цепочка, получившая название Ethereum Classic, никак не отреагировала на взлом, руководствуясь тем, что события в блокчейне никогда не должны изменяться.

Высокая зависимость от уровня программистов и подверженность багам

Считается, что взлом злоумышленниками качественно написанных смарт-контрактов практически невозможен, а популярные смарт-контракты в индустрии децентрализованных финансов на сегодняшний день являются самым надежным способом хранения документов в цифровом мире. Но код пишется программистами, а из-за того, что смарт-контракт виден всем пользователям блокчейна, в рамках которого он функционирует, его возможные уязвимости будут видны всей сети, притом что устранить их не всегда возможно из-за неизменности. В идеальном мире разработка смарт-контрактов должна осуществляться только опытными программистами, особенно когда речь идет о конфиденциальной информации, персональных данных или больших суммах денег.

Но в реальности очень большой процент ошибок вызван человеческим фактором и уязвимый код является причиной многочисленных рисков. Одна из причин, провоцирующих уязвимости, заключается в сложности проектирования, разработки и тестирования смарт-контрактов. И если для простых смарт-контрактов вероятность ошибки относительно мала, то в сложных смарт-контрактах ошибки встречаются часто. А последствием может быть хищение средств, их заморозка или даже уничтожение смарт-контракта.

Распространенные уязвимости вызваны давно известными чисто программными ошибками.

1. Рекурсивный вызов: смарт-контракт совершает вызов к другому внешнему контракту до того, как изменения были зафиксированы. После этого внешний контракт может рекурсивно взаимодействовать с исходным смарт-контрактом недопустимым способом, так как его баланс еще не обновлен.

2. Целочисленное переполнение: смарт-контракт выполняет арифметическую операцию, но значение превышает емкость хранилища (обычно 18 знаков после запятой). Это может привести к неправильному расчету сумм.

3. Опережение: плохо структурированный код содержит данные о будущих транзакциях, которые могут быть использованы третьими лицами в своих интересах.

Эффективность смарт-контрактов

Оптимизация производительности смарт-контрактов является показателем мастерства разработчика. Некоторые контракты для выполнения своей функции производят сложные серии транзакций, и комиссия за производимые операции становится высокой. Эффективные контракты могут значительно сократить комиссию за транзакции. 

Вопрос комиссии за вычисления в смарт-контрактах тесно связан с безопасностью, ведь ситуация, когда средства навсегда застряли в контракте, с практической точки зрения мало отличается от ситуации, когда их украли.

Виртуальная машина Ethereum

EVM (Ethereum Virtual Machine) – это единый глобальный 256-битный "компьютер", в котором все транзакции хранятся локально на каждом узле сети и исполняются с относительной синхронностью. EVM может выполнять произвольные команды, и в этом кроется его уязвимость: можно подобрать программный код, который приведет к непредвиденным последствиям. Понятно, что уязвимости в EVM могут привести к сбою в работе смарт-контрактов.

Еще одна проблема заключается в том, что можно практическим либо техническим способом подобрать код смарт-контракта, операции которого нагрузят виртуальную машину и замедлят ее непропорционально той комиссии, которая была оплачена за выполнение этих операций. Исследователи борются с такого рода злоупотреблениями, но проблема по прежнему остается актуальной.

Аудит защищенности смарт-контрактов

В качестве ответной меры на возможные риски довольно распространенной услугой стал аудит смарт-контрактов. Аудит безопасности предоставляет подробный анализ смарт-контрактов проекта для защиты вложенных средств. Так как все транзакции в блокчейне являются конечными, вернуть средства в случае кражи невозможно. Единого подхода к аудиту нет, и каждая аудиторская компания выполняет его по своему усмотрению.

Детерминизм исполнения кода смарт-контракта позволяет тестам работать везде, быть крайне простыми в поддержке и делает расследование инцидентов надежным и неоспоримым.

Аудиторы изучают код смарт-контрактов, составляют отчет и предоставляют его команде проекта. Затем выпускается окончательный отчет с подробным описанием всех оставшихся ошибок и работы, проделанной для решения проблем с производительностью и безопасностью. Помимо общих выводов, отчет обычно содержит рекомендации, примеры избыточного кода и полный анализ ошибок кодирования.

Команде проекта дается время, чтобы исправить ошибки, прежде чем будет выпущен окончательный отчет. Большая часть аудита включает проверку контрактов на наличие уязвимостей в системе безопасности. Хотя некоторые проблемы лежат на поверхности, многие ошибки могут быть устранены только с помощью сложных инструментов и стратегий. Например, слабый смарт-контракт может подвергнуться атаке в сочетании с рыночными манипуляциями. Чтобы обнаружить эти проблемы, аудиторы проводят пентесты.

Аудит безопасности смарт-контрактов широко распространен в экосистеме децентрализованных финансов (DeFi). Решение инвестировать в блокчейн-проект может быть частично основано на результатах проверки кода смарт-контракта.

Заключение

Несомненно, смарт-контракты оказали большое влияние на мир криптовалют и, безусловно, произвели революцию в области блокчейн-технологий. Совместный потенциал смарт-контрактов и блокчейна может оказать значительное влияние практически на все сферы жизни общества. Но только время покажет, смогут ли эти инновационные технологии преодолеть барьеры на пути к широкомасштабному внедрению.

Поскольку транзакции блокчейна необратимы, очень важно убедиться в безопасности кода смарт-контрактов. Особенности технологии "блокчейн" затрудняют возврат средств и решение проблем постфактум, поэтому лучше заранее определить потенциальные уязвимости проектов.

Источник: Информационная безопасность

6 декабря 2021 года командой Chainalysis был опубликован отчёт по рынку NFT за 2021 год. Из которого усматривается, что за последний год популярность невзаимозаменяемых токенов (NFT) резко возросла. NFT - это цифровые товары на основе блокчейна, единицы измерения которых должны быть уникальными, в отличие от традиционных криптовалют, единицы измерения которых должны быть взаимозаменяемыми. NFT могут хранить данные в блокчейнах — в большинстве проектов NFT, построенных на блокчейне Ethereum, — и эти данные могут быть связаны с файлами, содержащими такую информацию, как изображения, видео и аудио, или даже в некоторых случаях физические объекты. NFT обычно предоставляют владельцу право собственности на данные, носители или объекты, с которыми связан токен, и обычно покупаются и продаются на специализированных рынках.

В 2021 году пользователи отправили криптовалюту на сумму не менее 44,2 миллиарда долларов в контракты ERC-721 и ERC-1155, два типа смарт-контрактов Ethereum, связанных с рынками и коллекциями NFT.

Примечательно, что мы наблюдаем значительное увеличение как общей отправленной стоимости, так и среднего размера транзакций, что говорит о том, что NFT как категория активов набирают ценность по мере привлечения новых пользователей. Также наблюдается заметный всплеск общей стоимости исходящих объёмов, начиная с последней недели августа, что, по-видимому, в значительной степени обусловлено выпуском новой коллекции от популярной группы создателей NFT Bored Ape Yacht Club. Второй всплеск в конце октября и начале ноября, похоже, был вызван продажей одного криптопанка NFT за 532 Эфириума. Эксперты более подробно рассмотрели растущую стоимость инвестиций в NFT в отчете.

Большинство пользователей покупают NFT на специализированных торговых площадках, аналогично тому, как они могли бы покупать обычные криптовалюты на бирже. Многие рынки NFT, такие как OpenSea, не хранят для них NFT пользователей, вместо этого позволяя пользователям переводить NFT напрямую между своими кошельками — таким образом, эти рынки похожи на децентрализованные биржи или P2P-биржи. Однако, такие как Dapper Labs, занимаются хранением от имени пользователей.

CryptoPunks, которая была создана в 2017 году задолго до нынешнего увлечения NFT, была самой популярной коллекцией NFT за исследуемый период времени, с объемом транзакций более 3 миллиардов долларов с марта 2021 года. Интересно, что есть некоторые коллекции, которые пережили кратковременные, но значительные всплески транзакционной активности, так и не набрав постоянной популярности. Например, за неделю с 4 июля 2021 года стоимость транзакций "хэш-масок" превысила 380 миллионов долларов. Ни за одну другую неделю в течение исследуемого периода времени коллекция не превысила 95,7 миллиона долларов, а средний объем еженедельных транзакций за весь исследуемый период составил чуть менее 21 миллиона долларов. Аналогичная картина наблюдалась с яхт-клубом Mutant Ape.

Эксперты также проанализировали данные о веб-трафике популярных торговых площадок NFT, чтобы узнать, где в мире находится большинство пользователей NFT. Они увидели сильное преобладание веб-посещений из нескольких регионов, причем лидируют Центральная и Южная Азия, Северная Америка, Западная Европа и Латинская Америка. Данные свидетельствуют о том, что, как и обычная криптовалюта, NFT достигли глобальной популярности, и ни один регион не составляет более 40% ежемесячных посещений веб-сайтов с марта 2021 года.

Являясь самым популярным рынком NFT с приемлемой маржой, анализ Open Sea может многое рассказать нам о росте NFT в целом. Более 6000 коллекций NFT в Open Sea прошли по крайней мере одну транзакцию, включая покупку, продажу или чеканку. Эта активность имеет тенденцию к росту, так как количество активных коллекций NFT, которые эксперты определяют как те, которые совершили хотя бы одну транзакцию за каждую неделю, значительно возросло с марта 2021 года.

Данные показывают, что темп роста начал быстро увеличиваться в июле 2021 года, неуклонно повышаясь в течение октября. После небольшого снижения в начале ноября он снова ускорился и продолжался до конца года. Число активных коллекций NFT на конец 2021 года составляет 3264, что является самым высоким показателем за все время, по сравнению с 193 в начале марта.

Торговля NFT в большей степени ориентирована на розничную торговлю, чем торговля криптовалютами в целом. Подавляющее большинство транзакций NFT приходится на розничный уровень, то есть стоимостью менее 10 000 долларов в криптовалюте.

Однако, как мы видим выше, более крупные транзакции NFT становятся все более и более распространенными. По состоянию на 26 декабря 2021 года транзакции размером с "коллекционера" NFT, то есть криптовалюты на сумму от 10 000 до 100 000 долларов, выросли до 10% всех транзакций NFT по сравнению с менее чем 1% в начале января. При среднем количестве транзакций около 580 в неделю на транзакции институционального масштаба приходится 0,6% всех переводов.

Однако, если мы будем мыслить с точки зрения объема транзакций, а не необработанных переводов, транзакции размером с коллекционера NFT и институционального масштаба играют гораздо более заметную роль. В частности, на транзакции NFT коллекционеров приходится большая часть объема транзакций NEFT в 2021 году (60%). Институциональные транзакции (свыше 100 000 долларов США) составляют 30% активности, в то время как транзакции розничного масштаба составляют 10%.

Данные показывают, что рынок NFT гораздо более ориентирован на розничную торговлю, чем традиционный рынок криптовалют, где розничные транзакции составляют незначительную долю всей деятельности.

К вопросу об эффективности инвестиций в NFT. Любой, кто обращает внимание на рынок NFT, знает, что инвесторы стекаются отчасти потому, что считают, что могут добиться высокой отдачи от инвестиций, покупая NFT — либо в процессе выпуска, либо покупая их у другого пользователя — и продавая их позже с прибылью. Однако данные свидетельствуют о том, что NFT далеки от надежных инвестиций. Данные о транзакциях с торговой площадки Open Sea показывают, что только 28,5% NFT, купленных во время выпуска, а затем проданных на платформе, приносят прибыль. Покупка NFT на вторичном рынке у других пользователей и их обмен, однако, приводит к прибыли в 65,1% случаев.

Белый список - ключ к успеху в торговле новоиспеченными NFT. Больше, чем что-либо другое, NFT опирается на сообщество и рост за счёт сарафанного радио. Посмотрите практически на любой успешный проект NFT, и вы, скорее всего, найдете серверы Discord и темы Twitter, полные энтузиастов, продвигающих проект. Это сделано специально. Создатели NFT обычно начинают продвигать новые проекты задолго до выпуска первых ресурсов, собирая ядро преданных последователей, которые помогают продвигать проект с самого начала. Создатели NFT затем вознаградят этих преданных подписчиков, добавив их в “белый список”, что позволит им приобретать новые NFT по гораздо более низкой цене, чем у других пользователей, во время выпуска.

Белый список - это не просто номинальное вознаграждение, он приводит к значительно лучшим результатам инвестирования. Данные OpenSea показывают, что пользователи, которые попадают в белый список, а затем продают свои новоиспеченные NFT, получают прибыль в 75,7% случаев, по сравнению с 20,8% для пользователей, которые делают это, не будучи в белом списке. Не только это, но и данные свидетельствуют о том, что практически невозможно получить огромную отдачу от покупок выпущенных активов, не попав в белый список.

В целом, 78% продаж покупателей, не включенных в список, впоследствии приводят к убыткам при перепродаже, при этом 59% приводят к убыткам, равным или меньшим 0,5 от их первоначальных инвестиций. С другой стороны, 78% продаж покупателей, внесенных в белый список, приносят прибыль, а 51% - прибыль в 2 раза или более от первоначальных инвестиций. Белый список обеспечивает значительное финансовое вознаграждение тем, кто играет определенную роль в успехе проекта NFT, благодаря его ранним усилиям по развитию сообщества.

Однако, если вас нет в белом списке, значительно сложнее получить прибыль после покупки новоиспеченного NFT. Конечно, имейте в виду, что эти цифры не учитывают NFT, которые были выпущены, куплены и никогда не перепродавались. Вполне возможно, что некоторые из этих NFT будут проданы и в конечном итоге принесут прибыль в будущем, а это означает, что цифра 28,5%, представляющая NFT, выпущенные и затем проданные с прибылью, со временем может вырасти. 

Источник: Chainalysis