DeFin viimeisimmät, kalliit takaiskut toimivat sektorin oppitunneina

DAO: n “hakkerointi” juontaa syvälle kryptovaluuttayhteisön kollektiiviseen muistiin. Erittäin onnistuneen toukokuun 2016 joukkorahoituksen jälkeen DAO kesti hieman yli kuukauden, ennen kuin hyökkääjä alkoi tyhjentää varoja älykkäästä sopimuksesta ja otti noin 70 miljoonan dollarin arvosta Eteriä (ETH).

Kuitenkin, kuten jotkut tuolloin huomauttivat, DAO: n tapaus ei ollut ollenkaan hakkerointi. Hyökkääjä käytti yksinkertaisesti hyväkseen taustalla olevan älykkään sopimuskoodin heikkoutta saadakseen sen käyttäytymään tavalla, jota ohjelmoijat eivät odottaneet. Tapaus kuitenkin hajotti Ethereum-yhteisön, kun tehtiin päätös kovan haarukan toteuttamisesta, joka palauttaisi varat.

Nopeasti eteenpäin vuoden 2020 alkuun, ja hajautettuun rahoitukseen oli sidottu yli miljardin dollarin arvoinen salaus. Se on miljardi dollaria älykkäiden sopimusten hallinnassa. Joten historian valossa oli ehkä väistämätöntä, että joku löysi lopulta tapoja saada nämä sovellukset toimimaan tavalla, jota kukaan ei ollut odottanut. Ensimmäinen tapahtui helmikuussa 2020 kahdella erillisellä hyökkäyksellä hajautettua bZx-kauppapaikkaa vastaan. Äskettäin hakkeri teki 25 miljoonalla dollarilla kiinalaisen Lendf.me-laina-alustan, jota ylläpitää dForce.

Vaikka hakkereita ei olekaan mukana, DeFi-sovellukset ovat osoittaneet muita haavoittuvuuksia. Maaliskuun puolivälissä tapahtuneen salauksen “mustan torstain” aikana MakerDAO selvitti yli 4 miljoonan dollarin arvosta lainoja ETH: n hinnan laskiessa. Kaatuminen johti nopeaan hallintoa koskevaan äänestykseen ja velkahuutokauppaan vahingon korjaamiseksi.

Suuri osa kommenteista on keskittynyt siihen, voiko DeFi toipua näistä takaiskuista vai ei. DAO-tapahtuman historiaan perustuen näyttää siltä, ​​että DeFi toipuu. Ehkä asiaankuuluvampi kysymys on, mitä DeFi DApp -operaattorit voivat oppia tällaisista tapahtumista estääkseen niiden tapahtumisen tulevaisuudessa?

Helpot voitot dForcelta

Viimeisin tapaus, johon liittyy Lendf.me-hakkerointi, tarjoaa helppoja voittoja. Alusta on Kiinan suurin luotonantaja DApp. On kuitenkin käynyt ilmi, että hakkerointi tapahtui sen seurauksena, että dForce oli kopioinut koodin toisen hajautetun lainaussovelluksen, Compoundin, aiemmasta versiosta. Yhdistelmän vanha koodi ei pystynyt suojautumaan sellaisilta hyökkäyksiltä, ​​jotka tunnetaan nimellä “uudelleenkäynnistys” erityisesti ERC-777-tokenien kohdalla.

Tämän ongelman takia yhdiste ei tue ERC-777-tunnuksia. Näyttää kuitenkin siltä, ​​että kun dForce kopioi koodin, se ei oikeastaan ​​ymmärtänyt tätä haavoittuvuutta, koska se ei ottanut käyttöön samoja toimenpiteitä, mikä mahdollisti ERC-777-merkkien käytön Lendf.me-sivustossa. Tämän seurauksena hyökkääjä hyödynsi haavoittuvuutta tyhjentämällä 25 miljoonaa dollaria alustalta käyttämällä ERC-777 imBTC -merkkiä.

Hakkeri on sittemmin palauttanut varat, mutta tuskin se on puolustus itsessään. Kuten Cointelegraph kertoi, dForce on saanut kritiikkiä siitä, ettei se ole toteuttanut riittäviä toimenpiteitä tällaisen hyökkäyksen estämiseksi. Joten, jos olettaen, että dForce ei yksinkertaisesti tiennyt asiasta, kuinka he voisivat välttää sen? Alex Melikhov, toimitusjohtaja ja Equilibrium-perustaja – EOS-pohjaisen stablecoin EOSDT: n liikkeeseenlaskija – on suuri vertaisarviointien fani. Hän kertoi Cointelegraphille, että “kolmannen osapuolen suorittama koodin tarkistus olisi voinut estää tapahtuman” ja lisäsi:

”Tärkeä näkökohta tässä on testauskehyksen rakentaminen ja kooditarkastukset. Neljän silmän periaate soveltuu täydellisesti koodikehitykseen ja vähentää varmasti haavoittuvuusriskejä. Huolimatta dForcyn yhteistyöstä PeckShieldin kanssa (joka on julkisesti tarkastanut USDx- ja Yield Enhancing -protokollan), näyttää siltä, ​​että tilintarkastajat eivät ole tutkineet sen LendfMe-lainaprotokollan koodia. “

Dan Schatt, toimitusjohtaja ja keskitetyn lainausalustan Credin perustaja, on samaa mieltä, jopa ehdottaen, että yhteisöllä voisi olla rooli tässä. Hän totesi Cointelegraphille: “Virhepalautteet voivat auttaa kannustamaan yhteisöä etsimään sellaisia ​​haavoittuvuuksia, jotka voivat johtaa hyökkäyksiin ja tämän tyyppisten haavoittuvuuksien hyödyntämiseen.”

Julkaisuhetkellä dForce: lla oli vahvistettu että 100% hyökkäyksestä kärsineistä käyttäjistä oli hyvitetty resurssien uudelleenjakotoimien avulla. DForce puolestaan ​​vastasi Cointelegraphin pyyntöön kommentoida. DForcen perustaja Mindao Yang totesi, että pohdittuaan:

“Samanlainen hyökkäys tapahtui Uniswap / imBTC-poolihackille ennen [Lendf.me] -tapahtumaa. ERC777-tunnukseen liittyvä Uniswap-haavoittuvuus oli ollut tiedossa vuoden 2018 loppupuolelta, mutta ERC777-tunnuksen ja uudelleenkäynnistyshyökkäyspinnan esittävän yhdistetyn V1-koodin yhdistelmä tuli huomiomme vasta tapahtuman jälkeen. Olisimme voineet olla varovaisempia, kun Uniswap / imBTC-altaan hakkerointi tapahtui, ja olisimme voineet olla varovaisempia ottaessamme mukaan uusia varoja. “

Yang jatkoi sanomalla, että foorumi aikoo välttää vastaavia hyökkäyksiä, ja ottaa tulevaisuudessa mukaan joitain ulkopuolisia asiantuntijoita:


“Otamme luokkansa parhaat, kolmannen osapuolen tietoturvakonsultit auttamaan täydellisessä tarkastuksessa ja auttamaan meitä vahvistamaan tulevia tietoturvakäytäntöjämme. Löydämme oikean ajan uuden hajautetun rahamarkkinaprotokollan ja muiden protokollien uudelleen käyttöönottamiseksi. Edistymme heidän avustaan ​​ottamalla käyttöön tiukan, tarkastetun integraatioprosessin, kun tuomme omaisuutta dForce-ekosysteemiin. “

Tiedottaja vahvisti, että lisätietoja tältä osin toteutetuista toimista jaetaan tulevassa blogiviestissä.

BZx – monimutkaisempi asia

Ennen äskettäistä dForce-tapahtumaa DeFi-kaupankäyntialusta bZx iski kahdesti viikon kuluessa. Nämä hyökkäykset olivat vähemmän bugisen koodin mukaisia ​​kuin kryptovaluutta-alueen kypsymättömyys ja suhteellisen alhainen likviditeetti. Johdannaispörssit – riippumatta siitä, ovatko ne keskitettyjä tai hajautettuja – luottavat hintoihin. Nämä otetaan yleensä spot-markkinoilta käyttäen useiden pörssien keskihintaa.

DeFi-alustojen hinnan syöttö tulee hajautetuista pörsseistä, kuten Uniswap ja Kyber. Ongelma on, että koska joillakin rahakkeilla on alhainen likviditeetti näillä alustoilla, hintaa on suhteellisen helppo manipuloida.

Aiheeseen liittyvät: Ovatko BZx: n Flash-lainahyökkäykset DeFi: n loppua?

BZx hoiti tapahtuman hyvin kattamalla 900 000 dollaria käyttäjien tappioita vakuutusrahastolta. Deribitin tutkijat Su Zhu ja Hasu ovat aiemmin selitti kuinka hinta-oraakelit ovat alttiita manipuloinnille myös keskitetyissä pörsseissä, kuten BitMEX. DeFi: ssä, jossa hajautettuun vaihtoon käytetään hintatietoja oraakkelista, voidaan sanoa, että tämä onnettomuus oli korteissa.

Se tarjoaa kuitenkin mielenkiintoisen hämmennyksen – ainoa tapa ratkaista haaste on saada lisää käyttäjiä lisäämään likviditeettiä DEX-laitteisiin manipuloinnin haavoittuvuuden lieventämiseksi. Kuitenkin niin kauan kuin on olemassa riski, että varoja voidaan tyhjentää, DeFi pyrkii houkuttelemaan käyttäjiä.

Keskeinen haavoittuvuus

Lopuksi, paluu äskettäiseen mustan torstain tapahtumaan, joka aiheutti massiivisia selvitystiloja MakerDAO: lle: Hintojen kaatuminen oli täysin Makerin hallinnan ulkopuolella, onko siitä mitään oppitunteja?

Maaliskuun kaatuminen ja sitä seuraavat selvitystilat johtivat äänestykseen Makerin huutokauppaparametrien muuttamisesta ja USDC: n, vakuustyyppityypin käyttöön ottamiseksi, joka ei ole korreloinut salausmarkkinoiden kanssa. DeFi-arvostelijat pilkkaavat epäilemättä salauksen tukemaa stablecoinia, joka on pantattava keskitetyllä vastaavalla..

Ehkä Makerin USDC: n käyttöönotto osoittaa kuitenkin tietyn kypsyyden yhteisön tunnustuksessa siitä, että DeFi-markkinoiden nuori ikä tarkoittaa sitä, että sen on noudatettava suhteellisen vakaan, keskitetyn kollegansa esimerkkiä, kunnes se pystyy seisomaan omilla jaloillaan. Loppujen lopuksi Makerin perustaja Rune Christensen kertoi hiljattain Cointelegraphille haastattelussa, että hän uskoo, että DeFi lopulta sulautuu CeFiin, mikä osoittaa, että ehkä Makerin USDC-käyttö on varhainen ennustaja tälle siirtymälle.

Kun miljardi dollarin virstanpylväs on saavutettu tänä vuonna, on kysymys siitä, milloin (eikä pikemminkin) DeFi toipuu näistä takaiskuista ja palauttaa numeron uudelleen. Se, että nämä takaiskut tapahtuivat lainkaan, osoittaa, että DeFin perustajien ei pitäisi keskittyä siihen, kuinka pitkälle ala on mennyt, vaan pikemminkin siihen, kuinka pitkälle sen on vielä mentävä. Oppimalla viimeaikaisista tapahtumista on mahdollisuus nopeampaan toipumiseen.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map