เราได้รับความสนใจจาก“ ฟาร์มที่ให้ผลตอบแทนที่ดีกว่า” อีกหนึ่งรายการที่เข้ามาและไม่เกี่ยวข้องในสัปดาห์นี้.
Harvest Finance รวบรวมมูลค่ารวมได้มากถึง 1 พันล้านดอลลาร์ที่ถูกล็อคไว้ก่อนที่ “การแสวงหาประโยชน์ทางเศรษฐกิจ” จะส่งให้มันล้มลง มูลค่าที่ถูกล็อคไว้ในขณะนี้อยู่ที่ประมาณ 300 ล้านดอลลาร์และโอกาสในการฟื้นตัวที่ดูเยือกเย็น.
การใช้ประโยชน์ได้ก่อให้เกิดการถกเถียงกันอีกครั้งในหมู่สมาชิกชุมชน DeFi ว่าการโจมตีเก็งกำไรโดยใช้แฟลชประเภทนี้เป็นการแฮ็กจริงหรือไม่.
คุณสมบัติของ Harvest ให้ผลผลิตห้องใต้ดินคล้ายกับ Yearn’s พวกเขาออกหุ้นของห้องนิรภัยที่เป็นโทเค็นตามมูลค่าของทรัพย์สินที่ผู้ใช้จัดหาให้ ห้องใต้ดินเหล่านี้บางส่วนอาศัย Curve’s Y pool ซึ่งช่วยเพิ่มสภาพคล่องในการแลกเปลี่ยนระหว่าง USDT, USDC, DAI และ TUSD.
การโจมตีดังกล่าวใช้เงินกู้แฟลชในการแปลง 17 ล้านดอลลาร์สหรัฐให้เป็น USDC ผ่าน Curve ซึ่งช่วยเพิ่มราคา USDC เป็น 1.01 ดอลลาร์ชั่วคราว จากนั้นผู้โจมตีได้ใช้ที่เก็บกู้แฟลชอีกก้อนหนึ่งซึ่งมีมูลค่า 50 ล้านเหรียญสหรัฐซึ่งระบบพิจารณาว่ามีมูลค่า 50.5 ล้านดอลลาร์เพื่อเข้าสู่ห้องเก็บของ Harvest USDC.
หลังจากเข้ามาผู้โจมตีจะย้อนกลับการซื้อขาย USDC ก่อนหน้านี้กลับไปเป็น USDT เพื่อให้ราคาสมดุลจากนั้นแลกหุ้นของกลุ่ม Harvest ทันทีเพื่อรับ 50.5 ล้านดอลลาร์ใน USDC ซึ่งเป็นกำไรสุทธิ 500,000 ดอลลาร์ต่อรอบซ้ำหลายครั้งเพียงพอที่จะได้รับ 24 ดอลลาร์ ล้านในยกเค้า.
นี่เป็นการแฮ็กหรือไม่?
ในทางเทคนิคแล้วไม่มีช่องโหว่ที่เกี่ยวข้องที่นี่ มีการข้ามการตรวจสอบสำหรับ “การซื้อขายเก็งกำไร” ประเภทนี้ซึ่งตรวจพบว่าราคาของ Stablecoins เหล่านี้เบี่ยงเบนไปจากมูลค่าที่ตั้งใจไว้มากเกินไปหรือไม่ แต่ได้ตั้งค่าไว้ค่อนข้างต่ำแล้วและมีความไม่สะดวกเล็กน้อยมากกว่าตัวบล็อกจริง – ผู้โจมตีต้องการใช้วงจรการแสวงหาประโยชน์มากขึ้น.
ลำดับนี้น่าเวียนหัวและยังละเว้นหลายขั้นตอน.
ดังนั้นในแง่นี้ผู้เสนอทฤษฎีที่ว่านี่เป็นเพียงการค้าเก็งกำไรนั้นถูกต้อง – ไม่มีพฤติกรรมที่ไม่ได้ตั้งใจในรหัสมันเหมือนกับการจัดการตลาดด้วยอาวุธซ้ำ ๆ ด้วยความเร็ว.
อย่างไรก็ตามทีม Harvest Finance ถือว่าความรับผิดชอบสำหรับสิ่งนี้เป็นข้อบกพร่องในการออกแบบซึ่งเป็นเรื่องที่น่ายกย่อง.
จริงๆแล้วฉันไม่แน่ใจด้วยซ้ำว่าประเด็นของการถกเถียงเรื่องความหมายเหล่านี้คืออะไร คนเสียเงินด้วยวิธีที่ป้องกันได้ การตรวจสอบควรจับประเด็นนี้ได้และระบุว่าเป็นปัญหาร้ายแรง.
แต่มีกรณีแน่นอนที่จะทำให้เป็นหมวดหมู่ที่แตกต่างจากข้อบกพร่องเช่นการจัดส่งใหม่ สิ่งนี้ชี้ให้เห็นว่าหน่วยการสร้างทางการเงินเหล่านี้ซึ่งมักเรียกกันว่า “เลโก้เงิน” ต้องได้รับการออกแบบด้วยความระมัดระวังสูงสุดที่กระดานวาดภาพ.
เหมือนกับว่ามีใครบางคนสร้างปืนขึ้นมาจากชิ้นส่วนเลโก้และผู้คนกำลังถกเถียงกันว่าปืนถูก “สร้าง” หรือ “ค้นพบ” เพราะชิ้นส่วนนั้นประกอบขึ้นด้วยเทคนิคตามที่ออกแบบ ไม่ว่าจะด้วยวิธีใดก็ตามควรนำชิ้นส่วนเลโก้มาทำใหม่เพื่อไม่ให้กลายเป็นอาวุธร้ายแรง.
เชื่อถือมาตรฐานการเข้ารหัสลับมากเกินไป
ก่อนการแฮ็ก Harvest มีความโดดเด่นในเรื่องของการรวมศูนย์ในระดับสูง ในยุครุ่งเรืองเงิน 1 พันล้านดอลลาร์ทั้งหมดอาจถูกขโมยไปโดยที่อยู่เดียวซึ่งส่วนใหญ่จะถูกควบคุมโดยทีมงานนิรนามที่อยู่เบื้องหลังโครงการนี้ การตรวจสอบสองครั้งได้เน้นถึงข้อเท็จจริงนั้นและทำให้ชัดเจนว่าที่อยู่นั้นสามารถเสนอชื่อมินต์เตอร์และสร้างโทเค็นได้ตามต้องการ.
แฟน ๆ ของโครงการปกป้องโครงการนี้อย่างจริงจังโดยกล่าวว่าเนื่องจากการล็อกเวลาผู้ถือกุญแจด้านการกำกับดูแลสามารถขโมยเงินได้เพียง 12 ชั่วโมงหลังจากส่งสัญญาณความตั้งใจหรือว่าพวกเขาสามารถพิมพ์โทเค็นได้ในจำนวน จำกัด.
ฉันจะให้คุณเป็นคนตัดสินข้อโต้แย้งเหล่านั้น ประเด็นที่กว้างขึ้นก็คือในการค้นหาผลตอบแทน“ degens” เหล่านี้กำลังละเลยหลักการพื้นฐานของการกระจายอำนาจและคุณรู้ไหมว่า DeFi เกี่ยวกับอะไร.
และฉันไม่ได้บอกว่ามันไม่ดีเพราะหลักการในอุดมคติบางอย่างที่ฉันมี เป็นเพราะพรมดึง นี่คือสถานการณ์ที่นำไปสู่ภัยพิบัติเช่น UniCats.
เรื่องบ้าๆของ bZX
เมื่อพูดถึงการแฮ็กฉันมีความสุขที่ได้สัมภาษณ์ทีม bZX เกี่ยวกับปีที่เลวร้ายของพวกเขา พวกเขาประสบกับการแฮ็กทั้งหมดสามครั้งในปี 2020 แม้ว่าบางส่วนจะรู้สึกเหมือน “การแสวงหาประโยชน์ทางเศรษฐกิจ” ที่กล่าวถึงก่อนหน้านี้.
ทีมไม่เป็นอะไรถ้าไม่ทุ่มเท เรื่องหนึ่งที่ไม่ได้นำไปสู่บทความคือการที่ Kyle Kistner กระโดดรั้วกลางดึกและบุกเข้าไปในชุมชนที่มีรั้วรอบขอบชิดซึ่ง Tom Bean ผู้ร่วมก่อตั้งของเขาอาศัยอยู่ เห็นได้ชัดว่ามีข้อบกพร่องที่จำเป็นต้องได้รับการแก้ไขอย่างแท้จริงโดยเร็วที่สุด.
เมื่อพิจารณาจากเรื่องราวแล้วการเป็นนักพัฒนา DeFi นั้นไม่ได้มีไว้สำหรับคนใจเสาะหรือคนชอบนอนหลับ.
แน่นอนว่าเราอดไม่ได้ที่จะสังเกตว่า bZX ถูกเอาเปรียบบ่อยเกินไป ในฐานะที่เคยเป็นนักล่าเงินรางวัลบั๊กฉันสามารถเห็นได้อย่างแน่นอนว่าแนวทางปฏิบัติด้านความปลอดภัยของพวกเขานั้นต่ำกว่าพาร์เมื่อต้นปีอย่างไรตัวอย่างเช่นโปรแกรมบั๊กรางวัลค่อนข้างแย่ – แต่ฉันก็เห็นด้วยว่าพวกเขาแก้ไขข้อผิดพลาดหลายอย่างได้อย่างไร อาจมีปัญหาพื้นฐานอื่น ๆ แต่ฉันคิดว่าในที่สุดพวกเขาก็สามารถย้อนกลับได้หากไม่มีเหตุการณ์เกิดขึ้นอีก.
DeFi เป็นภัยคุกคามต่อการจับจอง
รายงาน ConsenSys ชี้ให้เห็นถึงปัญหาที่ถูกเพิกเฉยไปแล้วซึ่งโดยพื้นฐานแล้วค่าเสียโอกาสในการวางเดิมพันในสภาพแวดล้อม DeFi.
แนวคิดนี้ค่อนข้างง่าย: เงินไล่ตามผลตอบแทนสูงสุดและ DeFi ดูเหมือนจะเสนอให้พวกเขามากมายในทุกวันนี้ แม้แต่บางสิ่งที่ค่อนข้างเชื่องเช่น APY 20% ก็สามารถเอาชนะศักยภาพได้ 8% หรือมากกว่านั้นจากการปักหลักและตรวจสอบ Ethereum 2.0.
ปัญหานั้นจะยิ่งเพิ่มมากขึ้นเมื่อคุณพิจารณาว่า Ethereum’s Phase 0 จะไม่ยอมให้คุณถอนหรือโอนโทเค็นที่คุณตกลงไว้จนกว่าเฟส 1 หรือ 2 จะมาถึง โดยพื้นฐานแล้วคุณกำลังวางเดิมพันว่าทีมจะจัดส่งการใช้งานเต็มรูปแบบในระยะเวลาที่เหมาะสมและคุณจะไม่ได้รับรางวัลมากนักสำหรับความเสี่ยง.
ในสถานการณ์นั้นยิ่ง DeFi ได้รับความนิยมมากเท่าไหร่เครือข่ายก็ยิ่งมีความปลอดภัยน้อยลงเท่านั้นนั่นก็เป็นปัญหาใหญ่.
โชคดีที่มันสามารถแก้ไขได้โดยส่วนใหญ่ผ่านการซื้อขายอนุพันธ์ – โทเค็นเหลวที่ได้รับการสนับสนุนโดยหลักประกันที่ใช้สำหรับการปักหลักอีเธอร์ IOU ประเภทหนึ่ง มีความเสี่ยงที่เกี่ยวข้องกล่าวคือหลักประกันพื้นฐานอาจถูกตัดทอนและ IOU จะมีมูลค่าน้อยลงอย่างกะทันหัน สิ่งที่ดีสำหรับเครือข่ายคือเฉพาะ DeFi เท่านั้นที่ได้รับผลกระทบในกรณีนี้การสร้างลำดับชั้นตามธรรมชาติของความสำคัญ.
แต่นั่นแสดงให้เห็นถึงจำนวนการโต้ตอบที่ไม่ได้ตั้งใจที่อาจเกิดขึ้นในอนาคต DeFi มีความซับซ้อนมากอยู่แล้วและหากผู้คนไม่เข้าใจอย่างถ่องแท้ผลที่ตามมาอาจแย่มาก.