DAO “kapāt” dziļi iekļaujas kriptonauda kopienas kolektīvajā atmiņā. Pēc ārkārtīgi veiksmīgā kopfonda 2016. gada maijā DAO ilga nedaudz vairāk nekā mēnesi, pirms uzbrucējs sāka iztukšot līdzekļus no viedā līguma, paņemot apmēram 70 miljonu ASV dolāru vērtībā ēteru (ETH).
Tomēr, kā daži tobrīd norādīja, DAO incidents nebūt nebija kapātība. Uzbrucējs vienkārši izmantoja ievainojamību pamatā esošajā viedā līguma kodā, lai tas rīkotos tā, kā programmētāji negaidīja. Neskatoties uz to, incidents sašķēla Ethereum kopienu pēc tam, kad tika pieņemts lēmums ieviest cieto dakšiņu, kas atgrieztu līdzekļus.
Ātri uz priekšu līdz 2020. gada sākumam, un decentralizētajā finansējumā bija piesaistīts vairāk nekā 1 miljards USD kriptogrāfijas. Viedo līgumu pārvaldībā tas ir miljards dolāru. Tātad, ņemot vērā vēsturi, varbūt bija neizbēgami, ka kāds galu galā atradīs veidus, kā likt šīm lietojumprogrammām darboties tā, kā neviens nebija gaidījis. Pirmais notika 2020. gada februārī ar diviem atsevišķiem uzbrukumiem bZx decentralizētajai tirdzniecības platformai. Pavisam nesen hakeris nopelnīja 25 miljonus dolāru no Ķīnas kreditēšanas platformas Lendf.me, kuru vada dForce.
Pat ja hakeri nav iesaistīti, DeFi lietojumprogrammas ir parādījušas citas vājās vietas. Kriptogrāfijas “Melnās ceturtdienas” laikā marta vidū MakerDAO likvidēja aizdevumus vairāk nekā 4 miljonu ASV dolāru vērtībā, kad ETH cena samazinājās. Avārijas rezultātā notika ātra pārvaldības balsošana un parādu izsole, lai novērstu zaudējumus.
Liela daļa komentāru ir koncentrējušies uz to, vai DeFi var atgūties no šīm neveiksmēm. Pamatojoties uz DAO incidenta vēsturi, šķiet neizbēgami, ka DeFi atgūs. Varbūt visatbilstošākais jautājums ir tas, ko DeFi DApp operatori var mācīties no šādiem incidentiem, lai palīdzētu izvairīties no to rašanās nākotnē?
Vienkārši laimesti no dForce
Jaunākais incidents, kas saistīts ar Lendf.me uzlaušanu, piedāvā dažas vieglas uzvaras. Platforma ir Ķīnas lielākais kreditēšanas DApp. Tomēr izrādās, ka uzlaušana tika veikta, pateicoties tam, ka dForce bija nokopējis kodu no citas decentralizētas kreditēšanas lietojumprogrammas Compound iepriekšējās versijas. Savienojuma vecais kods nevarēja pasargāt no uzbrukumiem, kas pazīstami kā “atkārtota iekļūšana”, īpaši ERC-777 marķieriem..
Šīs problēmas dēļ savienojums neatbalstīja ERC-777 žetonus. Tomēr šķiet, ka tad, kad dForce nokopēja kodu, tas īsti nesaprata šo ievainojamību, jo netika ieviesti vieni un tie paši pasākumi, ļaujot Lendf.me izmantot ERC-777 žetonus. Līdz ar to uzbrucējs izmantoja ievainojamību, izmantojot ERC-777 imBTC marķieri, lai iztukšotu 25 miljonus USD no platformas.
Kopš tā laika hakeris ir atdevis līdzekļus, taču tas pats par sevi diez vai ir aizsardzība. Kā ziņo Cointelegraph, dForce ir saskārusies ar kritiku par nespēju veikt pietiekamus pasākumus, lai novērstu šādu uzbrukumu. Tātad, ja pieņem, ka dForce vienkārši nezināja par šo jautājumu, kā viņi varēja no tā izvairīties? Alekss Meļihovs, uzņēmuma Equilibrium izpilddirektors un līdzdibinātājs – EOS bāzes stablecoin EOSDT emitents – ir liels salīdzinošo pārskatu idejas cienītājs. Viņš teica Cointelegraph, ka “koda pārskatīšana, ko veic trešā puse, varētu novērst incidentu”, piebilstot:
“Svarīgs aspekts šeit ir testēšanas ietvara izveidošana un kodu audits. Četru acu princips ir lieliski piemērots koda izstrādei un noteikti mazina ievainojamības riskus. Neskatoties uz dForce partnerību ar PeckShield (kurš ir publiski pārbaudījis USDx un Yield Enhancing protokolu), šķiet, ka auditori nav pārbaudījuši tā kreditēšanas protokola LendfMe kodu. “
Dan Schatt, centralizētās kreditēšanas platformas Cred izpilddirektors un līdzdibinātājs, tam piekrīt, pat liekot domāt, ka kopienai šeit varētu būt nozīme. Viņš paziņoja laikrakstam Cointelegraph: “Bug bounties var palīdzēt sabiedrībai meklēt tādu ievainojamību veidu, kas var izraisīt uzbrukumus un šāda veida ievainojamību izmantošanu.”
Publikācijas laikā dForce bija apstiprināja ka 100% no uzbrukuma skartajiem lietotājiem tika atmaksāti, izmantojot aktīvu pārdali. Savukārt dForce atbildēja uz Cointelegraph lūgumu sniegt komentārus. MindFo dibinātājs Mindao Yang paziņoja, ka pēc pārdomām:
“Līdzīgs uzbrukums notika Uniswap / imBTC baseina uzlaušanai pirms [Lendf.me] incidenta. Ar ERC777 marķieri saistītā Uniswap ievainojamība bija zināma kopš 2018. gada beigām, taču ERC777 marķiera un Compound V1 koda kombinācija, kas ievieš atkārtotas iekļūšanas uzbrukuma virsmu, mūsu uzmanības lokā nonāca tikai pēc incidenta. Mēs varējām būt piesardzīgāki, kad notika Uniswap / imBTC baseina uzlaušana, un mēs varētu būt piesardzīgāki, iekāpjot jaunos aktīvos.
Jaņs turpināja, sakot, ka platforma plāno izvairīties no līdzīgiem uzbrukumiem un nākotnē uzņems dažus ārējos ekspertus:
“Mēs piesaistīsim savā klasē labākos trešo personu drošības konsultantus, lai palīdzētu veikt pilnu revīziju un palīdzētu stiprināt mūsu nākotnes drošības praksi. Mēs atradīsim īsto laiku jauna decentralizēta naudas tirgus protokola un citu protokolu pārvietošanai. Ar viņu palīdzību mēs ieviesīsim stingru, pārbaudītu integrācijas procesu, ieviešot aktīvus dForce ekosistēmā. ”
Pārstāve apstiprināja, ka sīkāka informācija par šajā sakarā veiktajām darbībām tiks dalīta turpmākajā emuāra ziņā.
BZx – sarežģītāks jautājums
Pirms nesenā dForce incidenta DeFi tirdzniecības platforma bZx nedēļas laikā tika skarta divas reizes. Šie uzbrukumi bija mazāk saistīti ar kļūdainu kodu nekā kriptonauda telpas nenobriedums un relatīvi zema likviditāte. Atvasināto instrumentu biržas – centralizētas vai decentralizētas – balstās uz cenu orākuliem. Parasti tos ņem no tūlītējiem tirgiem, izmantojot vidējo cenu no vairākām biržām.
DeFi platformu gadījumā cenu plūsma nāk no decentralizētām biržām, piemēram, Uniswap un Kyber. Jautājums ir tāds, ka dažu žetonu likviditātes dēļ šajās platformās ir salīdzinoši viegli manipulēt ar cenu.
Saistītie: Vai BZx zibatmiņas aizdevuma uzbrukumi liecina par DeFi beigām?
BZx labi rīkojās ar incidentu, no apdrošināšanas fonda sedzot 900 000 USD lietotāju zaudējumus. Deribit pētnieki Su Zhu un Hasu jau iepriekš paskaidroja kā cenu orākuli ir neaizsargāti pret manipulācijām pat centralizētās biržās, piemēram, BitMEX. DeFi, kur par cenu orākula datiem paļaujas uz decentralizētu apmaiņu, varētu teikt, ka šī avārija bija kartēs.
Tomēr tas rada intriģējošu noslēpumu – vienīgais veids, kā atrisināt problēmu, ir piesaistīt vairāk lietotāju, lai ievadītu likviditāti DEX, lai mazinātu neaizsargātību pret manipulācijām. Tomēr, kamēr pastāv risks, ka līdzekļi var tikt iztukšoti, DeFi cīnīsies, lai piesaistītu lietotājus.
Galvenā ievainojamība
Visbeidzot, pievēršoties nesenajam melnās ceturtdienas notikumam, kas izraisīja masveida likvidāciju MakerDAO: lai gan cenu avārija bija pilnībā ārpus Makera kontroles, vai ir kādas mācības, kuras no tā var noņemt?
Marta avārijas un turpmāko likvidāciju rezultātā tika balsots par Maker izsoļu parametru maiņu un USDC – nodrošinājuma aktīvu veida, kas nav korelēts ar kriptogrāfijas tirgu, ieviešanu. DeFi mazinātāji, bez šaubām, izsmies ironiju par kriptogrāfiski atbalstītu stablekoīnu, kas jānodrošina ar centralizētu ekvivalentu.
Tomēr, iespējams, Maker ieviestais USDC parāda zināmu briedumu sabiedrības atziņā, ka DeFi tirgus jaunais vecums nozīmē, ka tai ir jāseko salīdzinoši stabilo, centralizēto kolēģu piemēram, līdz tā var nostāties uz savām kājām. Galu galā Maker dibinātājs Rune Christensens intervijā nesen teica Cointelegraph, ka viņš uzskata, ka DeFi galu galā apvienosies ar CeFi, parādot, ka, iespējams, Maker USDC izmantošana ir agrīna šīs kustības prognoze.
Šogad sasniedzot 1 miljardu dolāru nozīmīgo punktu, jautājums ir par to, kad (nevis ja) DeFi atgūsies no šīm neveiksmēm un vēlreiz atgūs šo skaitli. Tomēr fakts, ka šīs neveiksmes vispār notika, parāda, ka DeFi dibinātājiem nevajadzētu koncentrēties uz to, cik tālu nozare ir sasniegusi, bet gan par to, cik tālu tai vēl ir jāiet. Mācoties no nesenajiem incidentiem, pastāv iespēja ātrāk atgūties.