Rahoitus määritelty uudelleen: Harvest Finanssin utelias tapaus, 21.-28. Lokakuuta

Meillä oli armo vielä yksi tyypillinen “degen-satotila”, joka ilmestyi ja ei ollut merkitystä tällä viikolla.

Harvest Finance keräsi jopa miljardin dollarin kokonaisarvon lukittuna ennen kuin “taloudellinen hyväksikäyttö” lähetti sen kaatumaan. Sen lukittu arvo on nyt noin 300 miljoonaa dollaria ja mahdollisuudet elpymiseen näyttävät synkiltä.

Hyödyntäminen on jälleen herättänyt keskusteluja DeFi-yhteisön jäsenten keskuudessa siitä, ovatko tämäntyyppiset pikalainapohjaiset arbitraasihyökkäykset todella hakkereita.

Sadonkorjuuominaisuudet tuottavat Yearnin kaltaisia ​​viljelykasveja. He laskevat käyttöön tokenoituja holvi-osakkeita käyttäjien toimittamien varojen arvon perusteella. Jotkut näistä varastoista perustuvat Curve’s Y -pooliin, joka antaa likviditeettiä USDT: n, USDC: n, DAI: n ja TUSD: n välisille swapeille..

Hyökkäys käytti flash-lainoja muuntamaan 17 miljoonaa dollaria USDT: stä USDC: ksi Curveen kautta, mikä nosti USDC: n hintaa väliaikaisesti 1,01 dollariin. Hyökkääjä käytti sitten uutta noin 50 miljoonan dollarin flash-lainaa – jonka järjestelmän piti olevan arvoltaan 50,5 miljoonaa dollaria – päästäkseen Harvest USDC -varastoon..

Sisäänpääsyn jälkeen hyökkääjä palautti edellisen USDC-kaupan takaisin USDT: ksi saadakseen hinnan tasapainoon ja lunasti heti osuutensa Harvestin pooleista saadakseen 50,5 miljoonaa dollaria USDC: nä – 500 000 dollarin nettotulos per sykli toistui riittävän monta kertaa saadakseen 24 dollaria miljoonaa saalista.

Joten onko tämä hakata tai ei?

Teknisesti tässä ei ollut haavoittuvuuksia. Tämäntyyppisille “arbitraasikaupoille” tehtiin ohitettu tarkistus, joka havaitsee, poikkeaako näiden vakiomallien hinta liikaa niiden aiotusta arvosta. Mutta se oli jo asetettu melko matalalle ja se on enemmän lievää haittaa kuin varsinainen estäjä – hyökkääjän tarvitsee vain käyttää enemmän hyväksikäyttöjaksoja.

Tämä jakso on huimaava, ja siitä puuttuu silti monia vaiheita.

Joten siinä mielessä teorian kannattajat, että tämä on vain arbitraasikauppa, ovat oikeita – koodissa ei ole tahattomaa käyttäytymistä, se on enemmän kuin aseistettua markkinoiden manipulointia, joka toistetaan nopeudella.

Harvest Finance -tiimi otti siitä huolimatta vastuun suunnitteluvirheenä, mikä on kiitettävää.

Rehellisesti, en ole edes varma, mikä näiden semanttisten keskustelujen tarkoitus on. Ihmiset menettivät rahaa ehkäistävällä tavalla. Tarkastuksen olisi pitänyt havaita tämä ja merkitä se kriittiseksi ongelmaksi.

Mutta on ehdottomasti tehtävä, että se on eri luokka kuin vikoja, kuten uudelleenkäynnistys. Siinä korostetaan, että nämä taloudelliset rakennuspalikat – joita usein kutsutaan rahalegoiksi – on suunniteltava äärimmäisen huolellisesti piirustuspöydällä.

Se on kuin jos joku loisi aseen Lego-osista ja ihmiset keskustelivat onko ase “luotu” vai “löydetty”, koska osat oli teknisesti koottu suunnitellusti. Kummassakin tapauksessa Lego-osat tulisi muokata niin, että niistä ei voi tulla tappavia aseita.

Hieman liikaa luottamusta salausstandardeihin

Ennen hakkerointia Harvest oli merkittävä äärimmäisen keskitettynä. Sen kunnia-aikoina kaikki miljardi dollaria on voitu varastaa yhdellä osoitteella, jota todennäköisesti hallitsee projektin takana oleva tuntematon tiimi. Pari auditointia korosti tätä tosiasiaa ja teki myös selväksi, että osoite pystyi nimeämään rahamiehiä ja luomaan rahakkeita haluttaessa.

Projektin fanit puolustivat sitä voimakkaasti sanoen, että aikalukon takia hallintoavaimen haltijat voivat varastaa rahaa vain 12 tuntia aikomustensa ilmoittamisen jälkeen tai että he voivat tulostaa vain rajoitetun määrän merkkejä.

Annan sinun olla näiden väitteiden tuomari. Laajempi asia on, että tuoton etsinnässä nämä “degenit” jättävät huomiotta hajauttamisen perusajatukset ja tiedät, mistä DeFi on.

Enkä sano, että se olisi huono joidenkin idealististen periaatteiden takia. Se johtuu maton vetämisestä. Nämä ovat tarkat olosuhteet, jotka johtivat katastrofeihin, kuten UniCats.

BZX: n hullu tarina

Hakkeroista puhuen, minulla oli ilo haastatella bZX-tiimiä heidän kauheasta vuodesta. He kärsivät yhteensä kolmesta hakkeroinnista vuoden 2020 aikana, vaikka jotkut näistä tuntuvat varmasti enemmän kuin aiemmin mainitut “taloudelliset hyödyt”.

Joukkue on mikään, ellei omistautunut. Yksi tarina, joka ei päässyt artikkeliin, oli se, kuinka Kyle Kistner hyppäsi aidan keskellä yötä ja murtautui aidatulle yhteisölle, jossa hänen perustaja Tom Bean asui. Oli ilmeisesti vika, joka oli korjattava kirjaimellisesti mahdollisimman pian.

Tarinan perusteella DeFi-kehittäjä ei ole heikkohermoisille eikä ihmisille, jotka haluavat nukkua.

Tietenkään ei voi olla huomaamatta, että bZX: tä hyödynnettiin vähän liian usein. Entisenä vikojen palkkionmetsästäjänä sain ehdottomasti nähdä, kuinka heidän turvallisuuskäytäntönsä olivat vähäisempiä vuoden aikana – esimerkiksi vikapalkkio-ohjelma oli melko huono -, mutta näin myös kuinka he korjaivat monet virheistään. Ehkä on muitakin taustalla olevia asioita, mutta luulen, että ne voisivat lopulta palata takaisin, jos ei enää tapahdu tapahtumia.

DeFi-uhka panostamiseen

ConsenSys-raportti tuo esiin ongelman, joka on toistaiseksi jätetty huomiotta, mikä on lähinnä DeFi-ympäristöön sijoittamisen vaihtoehtoisia kustannuksia.

Idea on melko yksinkertainen: raha jahtaa korkeimpia tuottoja, ja DeFi näyttää tarjoavan niitä paljon näinä päivinä. Jopa jokin suhteellisen kesy, kuten 20% APY, voisi voittaa Ethereum 2.0: n panostamisesta ja validoinnista noin 8%.

Tämä ongelma vaikeutuu entisestään, kun katsot, että Ethereumin vaihe 0 ei anna sinun peruuttaa tai siirtää tekemiäsi tunnuksia vasta, kun vaihe 1 tai 2 tulee. Teet periaatteessa vedon siitä, että joukkue toimittaa täydellisen toteutuksen kohtuullisessa ajassa, etkä todellakaan saa niin paljon palkkioita riskistä.

Tässä tilanteessa, mitä suositumpi DeFi on, sitä vähemmän suojattu verkko on, ja se on iso ongelma.

Onneksi se on suurelta osin ratkaistavissa panostamisjohdannaisilla – nestemäisillä rahakkeilla, joita tukevat panostuksessa käytettävät vakuudet, eräänlainen Ether IOU. Tähän liittyy riskejä – nimittäin se, että kohde-etuuden vakuus voi laskea ja IOU: n arvo olisi yhtäkkiä vähemmän. Verkolle on hyvä, että vain DeFi vaikuttaa tässä tapauksessa, mikä palauttaa tärkeän luonnollisen hierarkian.

Mutta se korostaa kuinka monta tahattomaa vuorovaikutusta voi olla tulevaisuudessa. DeFi voi jo olla erittäin monimutkainen, ja jos ihmiset eivät ymmärrä sitä täysin, seuraukset voivat olla kauheita.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map