הכשלונות האחרונים והיקרים של DeFi משמשים לקחים למגזר

“הפריצה” של ה- DAO עוברת עמוק לתוך הזיכרון הקולקטיבי של קהילת המטבעות. לאחר מימון המונים מוצלח ביותר במאי 2016, ה- DAO נמשך קצת יותר מחודש לפני שתוקף החל לנקז כספים מהחוזה החכם, ולקח Ether (ETH) בשווי של כ -70 מיליון דולר..

עם זאת, כפי שכמה ציינו באותה תקופה, אירוע ה- DAO לא היה פריצה כלל. התוקף פשוט ניצל פגיעות בקוד החוזה החכם הבסיסי בכדי לגרום לו להתנהג באופן שהמתכנתים לא ציפו לו. עם זאת, האירוע פיצל את קהילת את’ריום לאחר שהתקבלה החלטה ליישם מזלג קשה שיחזיר את הכספים.

קדימה מהירה לתחילת 2020, והיה קריפטו בשווי של יותר ממיליארד דולר שנקשר במימון מבוזר. זה מיליארד דולר בניהול חוזים חכמים. לכן, לאור ההיסטוריה, ייתכן שהיה בלתי נמנע שמישהו ימצא בסופו של דבר דרכים לגרום ליישומים אלה לבצע באופן שאיש לא צפה. הראשון הגיע בפברואר 2020, עם שתי התקפות נפרדות על פלטפורמת הסחר המבוזרת של bZx. לאחרונה, האקר הסתדר עם 25 מיליון דולר מפלטפורמת ההלוואות הסינית Lendf.me, המופעלת על ידי dForce.

גם כאשר האקרים אינם מעורבים, יישומי DeFi הראו נקודות תורפה אחרות. במהלך “יום חמישי השחור” של קריפטו באמצע מרץ, MakerDAO חיסל הלוואות בסכום של למעלה מ -4 מיליון דולר, כאשר מחיר ה- ETH צנח. ההתרסקות הביאה להצבעה ממשלתית מהירה ומכירה פומבית של חובות לתיקון הנזק.

חלק ניכר מהפרשנויות התמקדה בשאלה אם DeFi יכול להחלים מהתקלות הללו או לא. בהתבסס על ההיסטוריה של אירוע ה- DAO, נראה כי אין מנוס מכך ש- DeFi יעשה התאוששות. אולי השאלה הרלוונטית יותר היא, מה יכולים מפעילי DeFi DApp ללמוד מאירועים כאלה כדי למנוע את התרחשותם בעתיד?

זכיות קלות מ- dForce

התקרית האחרונה שבה הייתה פריצת Lendf.me מציעה כמה זכיות קלות. הפלטפורמה היא ה- DApp המלווה הגדול ביותר בסין. עם זאת, מתברר כי הפריצה בוצעה כתוצאה מכך שה- dForce העתיק קוד מגרסה קודמת של Compound, יישום הלוואות מבוזר אחר. הקוד הישן של מתחם לא היה מסוגל להגן מפני סוג ההתקפות המכונה “רנטרנסיות” במיוחד עבור אסימוני ERC-777.

בשל בעיה זו, מתחם לא תמך באסימני ERC-777. עם זאת, נראה שכאשר dForce העתיקה את הקוד, היא לא ממש הבינה את הפגיעות הזו, מכיוון שהיא לא הציבה את אותם אמצעים, ואפשרה להשתמש באסימונים של ERC-777 ב- Lendf.me. כתוצאה מכך, התוקף ניצל את הפגיעות, באמצעות אסימון imBTC ERC-777 כדי לרוקן 25 מיליון דולר מהפלטפורמה..

ההאקר החזיר מאז את הכספים, אך זו כמעט לא הגנה בפני עצמה. כפי שדווח על ידי Cointelegraph, dForce ספגה ביקורת על כך שלא נקטה באמצעים מספיקים כדי למנוע מתקפה כזו. אז אם נניח ש- dForce פשוט לא ידעו על הנושא, כיצד הם היו יכולים להימנע מכך? אלכס מלכוב, מנכ”ל ומייסד שותף של שיווי המשקל – מנפיק ה- stablecoin EOSDT מבוסס EOS – הוא מעריץ גדול של רעיון ביקורות העמיתים. הוא אמר לקוינטלגרף כי “בדיקת קוד על ידי צד שלישי יכולה הייתה למנוע את האירוע”, והוסיף:

“היבט חשוב כאן הוא בניית מסגרת בדיקות וביקורות קוד. עקרון ארבע העיניים ישים לחלוטין לפיתוח קוד ובוודאי מקטין את סיכוני הפגיעות. למרות השותפות של dForce עם PeckShield (שביקרה בפומבי את פרוטוקול USDx ו- Yield Enhancing), נראה כי מבקרי החקירה לא בחנו את הקוד של פרוטוקול ההלוואות שלה LendfMe. “

דן שאט, מנכ”ל ומייסד פלטפורמת ההלוואות הריכוזית Cred, מסכים ואפילו מציע שהקהילה יכולה למלא תפקיד כאן. הוא הצהיר בפני קוינטלגרף, “שפע של באגים יכול לעזור לתמרץ את הקהילה לחפש את סוג הפגיעות שעלולות להוביל להתקפות ולניצול של פגיעות מסוג זה.”

בזמן הפרסום היה ל- dForce מְאוּשָׁר ש- 100% מהמשתמשים שנפגעו מהתקיפה קיבלו החזר כספי באמצעות מאמץ חלוקת הנכסים שלה מחדש. מצידה, dForce אכן נענתה לבקשת קוינטלגרף להעיר תגובה. מינדאו יאנג, מייסד dForce, הצהיר כי לאחר הרהור:

“התקפה דומה התרחשה על פריצת הבריכה של Uniswap / imBTC לפני האירוע [Lendf.me]. הפגיעות של Uniswap, הקשורה לאסימון ERC777, הייתה ידועה מאז סוף 2018, אך השילוב של אסימון ERC777 וקוד מתחם V1 שהכניס משטח התקף חוזר הגיע לידיעתנו רק לאחר האירוע. יכולנו להיות עירניים יותר כאשר קרתה פריצת הבריכה של Uniswap / imBTC והיינו יכולים להיות זהירים יותר כשעלו על נכסים חדשים. “

יאנג המשיך ואמר כי הפלטפורמה מתכננת להימנע מהתקפות דומות, ותעלה בעתיד כמה מומחים חיצוניים:

“אנו נעסיק יועצי אבטחה מהצד השלישי בכיתה שיעזרו בביקורת מלאה ויעזרו לנו בהבנת שיטות האבטחה העתידיות שלנו. אנו נמצא זמן נכון לפרוס מחדש פרוטוקול שוק כספי מבוזר חדש ופרוטוקולים אחרים. בהתקדמות, בעזרתם, נציג תהליך אינטגרציה קפדני ומבוקר בעת הכנסת נכסים למערכת האקולוגית של dForce. “

הדובר אישר כי פרטים נוספים על הפעולות שננקטו בעניין זה ישותפו בפוסט בבלוג עתידי.

BZx – נושא מסובך יותר

לפני תקרית dForce האחרונה, פלטפורמת המסחר של DeFi bZx נפגעה פעמיים בתוך שבוע. התקפות אלה נבעו פחות מקודק-מכוניות מאשר חוסר הבגרות והנזילות הנמוכה יחסית של שטח המטבע הקריפטוגרפי. בורסות נגזרים – בין אם ריכוזיות ובין אם מבוזרות – מסתמכות על כתבי מחיר. אלה נלקחים בדרך כלל משווקי הספוט, תוך שימוש במחיר ממוצע ממרכזיות מרובות.

במקרה של פלטפורמות DeFi, הזנת המחירים מגיעה מבורסות מבוזרות כמו Uniswap ו- Kyber. הבעיה היא שעקב כמה אסימונים עם נזילות נמוכה בפלטפורמות אלה, קל יחסית לתפעל את המחיר.

קשור: האם התקפות הלוואת ה- BZx פלאש מאותותות על סיום ה- DeFi?

BZx טיפלה היטב באירוע, וכיסתה 900 אלף דולר מהפסדי המשתמשים מקופת ביטוח. חוקרי דרבית סו ג’ו והאסו כבר בעבר הסביר כיצד אורקלי מחירים פגיעים למניפולציות אפילו בבורסות מרכזיות כגון BitMEX. ב- DeFi, שם מסתמכים על חילופי מבוזרים לנתוני מחיר אורקל, אפשר לומר שהתאונה הזו הייתה על הפרק.

עם זאת, הוא מציג חידה מסקרנת – הדרך היחידה לפתור את האתגר היא להביא יותר משתמשים להזרים נזילות ל- DEX כדי למתן את הפגיעות למניפולציה. עם זאת, כל עוד קיים סיכון לנקזת כספים, DeFi יתקשה למשוך משתמשים.

הפגיעות המרכזית

לבסוף, פנייה לאירוע האחרון של יום חמישי השחור, שגרם לחיסולים המוניים ב- MakerDAO: ככל שקריסת המחירים הייתה לגמרי בשליטת Maker, האם יש לקחים שניתן לקחת ממנו?

התרסקות מארס והחיסולים שלאחר מכן הביאו להצבעה לשינוי פרמטרים של מכירה פומבית של Maker ולהכנסת USDC, סוג נכס ביטחוני שאינו מקושר לשוק הקריפטו. גורעי DeFi ללא ספק ילעגו את האירוניה של מטבע מגובה קריפטו שצריך להיות מבוטח על ידי מקבילה ריכוזית.

עם זאת, אולי ההקדמה של Maker ל- USDC מראה על בגרות מסוימת בהכרה של הקהילה בכך שהגיל הצעיר של שוק ה- DeFi אומר שהוא צריך ללכת על פי הדוגמה של עמיתיו היציבים והמרכזיים יחסית, עד שהוא יכול לעמוד על רגליו. אחרי הכל, מייסד Maker Rune Christensen אמר לאחרונה בראיון ל- Cointelegraph כי הוא מאמין ש- DeFi יתמזג בסופו של דבר עם CeFi, והמחיש שאולי השימוש של Maker ב- USDC הוא מנבא מוקדם למהלך זה..

לאחר שהגיע השנה לאבן דרך של מיליארד דולר, זו שאלה מתי (ולא אם) DeFi יתאושש מהכשלים הללו ויחזיר את המספר הזה פעם נוספת. עם זאת, העובדה שהתקלות הללו התרחשו בכלל ממחישה כי מייסדי DeFi לא צריכים להתמקד עד כמה הגיע המגזר, אלא עד כמה הוא עדיין צריך להגיע. על ידי למידה מהתקריות האחרונות, יש סיכוי להחלמה מהירה יותר.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map