Finance Redefined คือจดหมายข่าว DeFi เป็นศูนย์กลางของ Cointelegraph ซึ่งส่งถึงสมาชิกทุกวันพุธ.
การแฮ็ก Alpha Homora และ Cream Finance ได้ทำเครื่องหมายขนาดมหึมาในพื้นที่ DeFi ในสัปดาห์นี้.
นับเป็นการแฮ็กครั้งเดียวที่ใหญ่ที่สุดในประวัติศาสตร์ DeFi ด้วยเงินที่ถูกขโมยไป 37 ล้านดอลลาร์ นอกจากนี้ยังเป็นหนึ่งในช่องโหว่ที่ซับซ้อนที่สุดโดยใช้ประโยชน์จากช่องโหว่ที่ซื่อสัตย์ต่อพระเจ้าหลายประการใน Alpha Homora การตรวจสอบอินพุตที่ขาดหายไปบางส่วนในเงื่อนไขพิเศษทำให้แฮ็กเกอร์สามารถละเมิดสิทธิพิเศษของ Alpha Homora ในการยืมเงินไม่ จำกัด จำนวนจาก Cream Finance’s Iron Bank แน่นอนว่าการกู้ยืมเงิน Flash มีส่วนเกี่ยวข้อง แต่ไม่เหมือนกับการแฮ็กก่อนหน้านี้เช่น Harvest Finance ซึ่งดูเหมือนจะไม่ได้เป็นการแสวงหาผลประโยชน์ทางเศรษฐกิจอย่างแท้จริง.
ข่าวการแฮ็กมีผลกระทบเชิงลบอย่างมากต่อราคาสำหรับโปรโตคอลทั้งหมดที่เกี่ยวข้องกับการแฮ็กรวมถึง Aave ด้วยเหตุผลบางประการ เมื่อมองโดยทั่วไปแล้วที่ DeFi Perp บน FTX จะมีจุดสูงสุดที่ชัดเจนในวันที่ 13 กุมภาพันธ์เมื่อการแฮ็กเกิดขึ้น.
ดัชนี DeFi ของ FTX ได้รับความอนุเคราะห์จาก TradingView.
บางทีนั่นอาจเป็นเพียงการกระทำของตลาดปกติ แต่โดยรวมแล้วดูเหมือนว่าการแฮ็กเพียงคนเดียวจะสิ้นสุดฤดูกาล DeFi ในตอนนี้.
ผู้ตรวจสอบรู้สึกร้อน
เนื่องจากโปรโตคอลใด ๆ ที่มีการยอมรับเป็นจำนวนมากในปัจจุบัน Alpha Homora ได้รับการตรวจสอบโดย Quantstamp และ PeckShield ทั้งสอง บริษัท ที่มีทักษะและน่านับถือ.
อย่างไรก็ตามรายละเอียดของการแฮ็กทำให้บางคนสงสัยว่าเป็นงานภายในซึ่งอาจเกิดจากใครบางคนใน บริษัท ตรวจสอบบัญชีเหล่านี้ ผู้พัฒนาหลัก Yearn.finance Banteg กล่าวถึง รายละเอียดของการแฮ็กนั้นคลุมเครือมากเพียงใดซึ่งไม่น่ามีใครคิดได้เพียงแค่ดูสัญญา โดยเฉพาะอย่างยิ่งสระว่ายน้ำที่โจมตีโดยแฮ็กเกอร์นั้นไม่มีการแจ้งเตือนและไม่ได้ใช้งานซึ่งเป็นสิ่งที่อนุญาตให้แฮ็กเกิดขึ้นตั้งแต่แรก.
ในขณะที่ไม่มีข้อกล่าวหาต่อสาธารณะเหตุการณ์ดังกล่าวทำให้เกิดการอภิปรายอีกครั้งว่าเหตุใดผู้ตรวจสอบจึงล้มเหลวในการตรวจจับจุดบกพร่องไม่ว่าพวกเขาจะได้รับแรงจูงใจอย่างเหมาะสมหรือไม่และสถานการณ์นี้จะบรรเทาลงได้อย่างไร.
กายวิภาคของการแฮ็กที่ซับซ้อน
ในฐานะที่เคยเป็นนักล่าเงินรางวัลบั๊กฉันเชื่อจริงๆว่าระบบนิเวศของการตรวจสอบนั้นเกี่ยวกับ“ แรงจูงใจที่สอดคล้องกัน” เท่าที่จะเป็นไปได้ บริษัท ตรวจสอบจะเสี่ยงต่อชื่อเสียงของพวกเขาทุกครั้งที่มีข้อผิดพลาดที่สำคัญเช่นนี้หลุดเข้ามาในเครือข่ายของพวกเขา เพียงพอเหล่านี้ในการสืบทอดอย่างรวดเร็วและไม่มีใครจะไว้วางใจในธุรกิจนั้นอีกต่อไป ผู้ตรวจสอบมีแรงจูงใจในการค้นหาทุกสิ่งที่ทำได้ แต่บางครั้งก็ไม่สามารถทำได้ตามความเป็นจริง.
การตรวจสอบเป็นสัญญาที่มีระยะเวลา จำกัด ซึ่งทีมวิศวกรความปลอดภัยที่มีประสบการณ์จะทำการตรวจสอบโค้ดเพื่อค้นหาสิ่งที่ดูน่าสงสัย คำหลักในที่นี้คือ “จำกัด เวลา” และ “สำหรับค้นหาอะไรก็ได้”
ฉันสามารถพูดได้จากประสบการณ์ส่วนตัวว่าข้อบกพร่องเช่นเดียวกับที่เรามีในตอนนี้ไม่ใช่สิ่งที่คุณจะพบได้โดยไม่ตั้งใจโดยดูที่รหัส การค้นหาจุดบกพร่องที่ซับซ้อนหลายขั้นตอนเช่นนี้เป็นกระบวนการที่ทำซ้ำ มันเริ่มจากการที่คุณสะดุดกับสิ่งแปลกประหลาดสิ่งหนึ่งที่ไม่ได้ทำหน้าที่เท่าที่ควร ตัวอย่างเช่นเว็บไซต์ลืมตรวจสอบว่าคุณได้ลงชื่อเข้าใช้จริงหรือไม่เมื่อทำงานบางอย่าง คุณจับนักเก็ตคนนั้นแล้วถามตัวเองว่า“ ฉันจะหาประโยชน์จากสิ่งนี้ได้อย่างไร” คุณคิดไอเดียกลั้วพื้นเพื่อหาจุดอ่อนอื่น ๆ และดูว่าคุณสามารถรวมเข้าด้วยกันได้หรือไม่ เกือบตลอดเวลาที่คุณไม่พบอะไรเลยและจุดอ่อนนั้นยังคงใช้ประโยชน์ไม่ได้.
แต่ด้วยการทำงานที่จดจ่ออยู่หลายวันการทดลองและข้อผิดพลาดหลาย ๆ ครั้งบางครั้งคุณก็หาวิธีใช้ประโยชน์จากปัญหาเบื้องต้นได้ เมื่อมันเกิดขึ้นมันมักจะรวมกันของปัจจัยที่เพียงอย่างเดียวดูเหมือนไม่เกี่ยวข้อง แต่เมื่อรวมเข้าด้วยกันแล้วจะกลายเป็นปริศนาที่น่ารังเกียจ.
การมุ่งเน้นและความทุ่มเทที่จำเป็นในการค้นหาจุดบกพร่องส่วนใหญ่ที่ส่งผลให้เกิดการแฮ็กครั้งใหญ่เป็นสิ่งที่อยู่นอกเหนือขอบเขตของการตรวจสอบ หากพวกเขาไล่ตามทุกลีดด้วยเวลาที่มีพวกเขาค่อนข้างจะเสียเวลาไปมากจนไม่สามารถหาสิ่งที่หาประโยชน์ได้ง่ายและชัดเจน ไม่ได้หมายความว่าผู้ตรวจสอบจะไม่พบข้อบกพร่องที่ซับซ้อน แต่ไม่มีเหตุผลที่จะคาดหวังให้พวกเขาพบทุกอย่าง และหากผู้ตรวจสอบพบข้อผิดพลาด Alpha Homora จริง ๆ และระงับไว้มีประเด็นที่ลึกซึ้งกว่าแรงจูงใจทางเศรษฐกิจ.
วิธีรักษาความปลอดภัย DeFi
ปัญหาเกี่ยวกับการตรวจสอบหมายความว่าโครงการควรเปิดตัวบั๊กเพื่อค้นหาจุดบกพร่องที่ซับซ้อนจริงๆ พวกเขาไม่มีการ จำกัด เวลามีสายตาอีกมากมายที่กวาดล้างแพลตฟอร์มและการจ่ายเงินเป็นไปตามผลลัพธ์ซึ่งมีประสิทธิภาพมากกว่าการจ่ายเงินให้กับผู้ตรวจสอบจำนวนชั่วโมงการทำงานที่มากกว่าด้วยความหวังว่าพวกเขาจะพบ.
คนส่วนใหญ่เข้าใจถึงพลังของบั๊กในตอนนี้แม้ว่าแน่นอนว่า Alpha Homora จะไม่มีเลยก็ตาม แต่โครงการอย่าง Yearn.finance ก็ถูกแฮ็กเหมือนกันหมด.
บางครั้งสิ่งเหล่านี้ก็เกิดขึ้น Crypto ดำเนินการคอมโบที่มีปัญหาซึ่งการใช้ประโยชน์จากบั๊กเพื่อหาเงินและการหลีกเลี่ยงมันเป็นเรื่องง่ายมากในขณะที่โครงสร้างพื้นฐานไม่เหมือนแฮกเกอร์อื่น ๆ ที่เคยเห็นมาก่อน ในการเริ่มต้นล่ารางวัลใน DeFi คุณต้องเป็นผู้เชี่ยวชาญด้านการเข้ารหัสลับที่จริงจังและโปรแกรมเมอร์ Solidity / Vyper ที่มีประสบการณ์ซึ่งทั้งสองสิ่งนี้ไม่ได้เกิดขึ้นในทันที สำหรับแฮ็กเกอร์หมวกขาวมีแพลตฟอร์ม Web2 มาตรฐานมากมายที่ให้เงินรางวัลในการแข่งขันสูงทำไมพวกเขาถึงต้องกังวลกับการค้นคว้า DeFi?
ผู้คนเข้าใจผิดเกี่ยวกับความท้าทายในการรักษาความปลอดภัยโปรโตคอล อัลฟาโฮโมรา กล่าวว่า เงินรางวัลใด ๆ ที่พวกเขาสามารถจ่ายได้จะลดลงเมื่อเทียบกับของรางวัลที่เดิมพัน แต่เป้าหมายไม่ควรอยู่ที่การจ่ายเงินให้แฮกเกอร์ในสิ่งที่พวกเขาขโมยไปได้ นั่นเป็นเรื่องที่น่าสูญเสีย เป้าหมายคือเพื่อดึงดูดแฮกเกอร์หมวกขาวที่มีจิตใจดีมาวิเคราะห์โครงการและรับเงินรางวัลตามกฎหมาย เงินรางวัลที่น้อยกว่าล้านที่พวกเขาจะได้รับจากการใช้ประโยชน์จากข้อผิดพลาด แต่สิ่งหนึ่งที่ยังคงเป็นการจ่ายเงินที่เปลี่ยนแปลงชีวิตได้ อาจจะประมาณ 50,000 ดอลลาร์ 200,000 ดอลลาร์ขึ้นอยู่กับสถานการณ์? ซึ่งมีแนวโน้มน้อยกว่าค่าใช้จ่ายในการตรวจสอบโดย บริษัท ที่ได้รับการยกย่อง.
ในข่าวอื่น ๆ
- 1inch เปิดตัว “การโจมตีแวมไพร์” อีกครั้งใน Uniswap โดยการปล่อยโทเค็นฟรีให้กับผู้ใช้ (บางส่วน).
- การเริ่มต้นเปิดตัวแอปผลตอบแทนที่เปิดใช้งาน DeFi.
- ระดับสีเทาอาจต้องการสร้างความไว้วางใจ YFI เพื่อความเป็นธรรมคนอื่น ๆ อีกมากมายเช่น SushiSwap หรือ Chainlink ก็เป็นผู้สมัครเช่นกัน.
- โครงการที่โดดเด่นกลับคืนสู่ GoodFi ซึ่งเป็นพันธมิตรด้านการศึกษาของ DeFi.
- ไฮไฟเปิดตัวโปรโตคอลการให้กู้ยืมแบบอัตราดอกเบี้ยคงที่.