Το Finance Redefined είναι το ενημερωτικό δελτίο της Cointelegraph, το οποίο παρέχεται στους συνδρομητές κάθε Τετάρτη.
Το αλφάβητο Alpha Homora και Cream Finance έχει κάνει ένα τεράστιο σημάδι στον χώρο DeFi αυτήν την εβδομάδα.
Είναι το μεγαλύτερο single hack στην ιστορία του DeFi με 37 εκατομμύρια δολάρια σε κλεμμένα χρήματα. Είναι επίσης ένα από τα πιο περίπλοκα, προφανώς αξιοποιώντας πολλές ευπάθειες έντιμου προς τον Θεό στην Alpha Homora. Λίγοι έλεγχοι εισόδου που λείπουν σε πολύ εξειδικευμένες συνθήκες επέτρεψαν στον χάκερ να καταχραστεί το προνόμιο της Alpha Homora να δανείζεται απεριόριστο ποσό χρημάτων από την Iron Bank της Cream Finance. Φυσικά εμπλέκονταν δάνεια flash, αλλά σε αντίθεση με κάποιες προηγούμενες παραβιάσεις όπως το Harvest Finance, αυτό δεν φαίνεται να ήταν καθαρά οικονομικό.
Τα νέα του hack είχαν πολύ αρνητικό αντίκτυπο στις τιμές όλων των πρωτοκόλλων που περιλαμβάνονται στο hack, συμπεριλαμβανομένου του Aave για κάποιο λόγο. Κοιτώντας γενικότερα το DeFi Perp στο FTX, υπάρχει μια σαφής κορυφή ακριβώς στις 13 Φεβρουαρίου όταν συνέβη το hack.
Ευρετήριο DeFi του FTX, με ευγενική παραχώρηση του TradingView.
Ίσως μερικά από αυτά είναι απλώς μια φυσιολογική δράση στην αγορά, αλλά συνολικά μοιάζει σαν το χάκερ να τερματίζει μόνος του τη σεζόν DeFi, προς το παρόν.
Οι ελεγκτές αισθάνονται τη ζέστη
Όπως οποιοδήποτε πρωτόκολλο φτάνει σε οποιοδήποτε είδος μαζικής υιοθέτησης σήμερα, η Alpha Homora ελέγχθηκε από την Quantstamp και την PeckShield, και οι δύο εξειδικευμένες και αξιοσέβαστες εταιρείες.
Ωστόσο, οι λεπτομέρειες της παραβίασης οδήγησαν ορισμένους να υποπτεύονται ότι ήταν εσωτερική δουλειά, πιθανώς από κάποιον σε αυτές τις ελεγκτικές εταιρείες. Ο βασικός προγραμματιστής Yearn.finance Banteg που αναφέρθηκαν πώς οι λεπτομέρειες της παραβίασης ήταν τόσο ασαφείς που ήταν εξαιρετικά απίθανο κάποιος να το καταλάβει μόνο κοιτάζοντας τα συμβόλαια. Συγκεκριμένα, η ομάδα επίθεσης από τον χάκερ ήταν αιφνιδιαστική και αχρησιμοποίητη, πράγμα που επέτρεψε να γίνει το hack αρχικά.
Ενώ δεν υπήρχαν δημόσιες κατηγορίες, το περιστατικό πυροδότησε ακόμη μια συζήτηση για το γιατί οι ελεγκτές δεν κατάφεραν να πιάσουν το σφάλμα, εάν έχουν κατάλληλα κίνητρα και πώς μπορεί να μετριαστεί αυτή η κατάσταση.
Η ανατομία ενός περίπλοκου χάκα
Ως πρώην κυνηγός σφαλμάτων, πιστεύω πραγματικά ότι το ελεγκτικό οικοσύστημα έχει την ίδια ευθυγράμμιση με τα κίνητρα. Οι ελεγκτικές εταιρείες διακινδυνεύουν τη φήμη τους κάθε φορά που ένα μεγάλο σφάλμα όπως αυτό περνά μέσα από τα δίχτυα τους. Αρκετά από αυτά σε γρήγορη διαδοχή και κανείς δεν θα εμπιστευτεί πια αυτήν την επιχείρηση. Οι ελεγκτές έχουν όλα τα κίνητρα για να βρουν ό, τι μπορούν, είναι ακριβώς ότι μερικές φορές ρεαλιστικά δεν μπορούν να το κάνουν.
Ο έλεγχος είναι ένα συμβόλαιο περιορισμένου χρόνου κατά το οποίο μια ομάδα έμπειρων μηχανικών ασφαλείας χτενίζει τον κώδικα αναζητώντας οτιδήποτε φαίνεται ύποπτο. Οι λέξεις-κλειδιά εδώ είναι «περιορισμένου χρόνου» και «σε αναζήτηση οτιδήποτε».
Μπορώ να πω από προσωπική εμπειρία ότι ένα σφάλμα όπως αυτό που είχαμε τώρα δεν είναι κάτι που μπορείτε να βρείτε άνετα κοιτάζοντας τον κώδικα. Η εύρεση ενός πολυσύνθετου, πολύπλοκου σφάλματος όπως αυτή είναι μια επαναληπτική διαδικασία. Ξεκινάει με το να πας σε ένα παράξενο πράγμα που δεν ενεργεί όπως θα έπρεπε. Για παράδειγμα, ένας ιστότοπος ξεχνά να ελέγχει αν είστε πραγματικά συνδεδεμένοι κατά την εκτέλεση μιας συγκεκριμένης εργασίας. Παίρνετε αυτό το ψήγμα και αναρωτιέστε: «Πώς μπορώ να το εκμεταλλευτώ;» Κατασκευάζετε ιδέες, καθαρίζετε την πλατφόρμα για άλλα αδύνατα σημεία και βλέπετε αν μπορείτε να τις συνδυάσετε κάπως. Τις περισσότερες φορές δεν βρίσκετε τίποτα και αυτό το αδύνατο σημείο παραμένει ανεκμετάλλευτο.
Αλλά με ημέρες εστιασμένης εργασίας, πολλαπλές δοκιμές και σφάλματα, μερικές φορές καταλαβαίνετε πώς να εκμεταλλευτείτε το αρχικό ζήτημα. Όταν συμβαίνει, είναι πάντοτε ένας συνδυασμός παραγόντων που φαίνονται από μόνες τους άσχετοι, αλλά μαζί ταιριάζουν σε ένα άσχημο παζλ.
Η εστίαση και η αφοσίωση που απαιτούνται για την εύρεση των περισσότερων σφαλμάτων που οδήγησαν σε σημαντικές παραβιάσεις είναι κάτι που υπερβαίνει το πεδίο του ελέγχου. Αν ήθελαν να κυνηγήσουν κάθε προβάδισμα με το χρόνο που είχαν, θα κυριολεκτικά θα σπαταλούσαν τόσο πολύ που δεν θα μπορούσαν να βρουν τα εύκολα εκμεταλλεύσιμα και προφανή πράγματα. Για να μην πούμε ότι οι ελεγκτές δεν βρίσκουν ποτέ περίπλοκα σφάλματα, αλλά είναι παράλογο να περιμένουν να βρουν τα πάντα. Και αν ένας ελεγκτής βρήκε πραγματικά το σφάλμα Alpha Homora και το απέκρυψε, υπάρχουν πιο βαθιά ζητήματα από τα οικονομικά κίνητρα.
Πώς να ασφαλίσετε το DeFi
Τα ζητήματα με τους ελέγχους σημαίνουν ότι τα έργα πρέπει να ξεκινούν bug bounties για να βρουν πραγματικά πολύπλοκα σφάλματα. Δεν έχουν χρονικά όρια, πολλά περισσότερα μάτια καθαρίζουν την πλατφόρμα και η αμοιβή βασίζεται στα αποτελέσματα – πολύ πιο αποτελεσματική από την πληρωμή των ελεγκτών περισσότερες ώρες εργασίας με την ελπίδα ότι θα βρουν κάτι.
Οι περισσότεροι καταλαβαίνουν τη δύναμη των bounties bug, αν και φυσικά η Alpha Homora δεν είχε. Αλλά έργα όπως το Yearn.finance κάνουν, και έχουν χακαριστεί το ίδιο.
Μερικές φορές αυτά τα πράγματα συμβαίνουν. Το Crypto φέρνει το προβληματικό σύνθετο που στην πραγματικότητα εκμεταλλεύεται ένα σφάλμα για χρήματα και ξεφεύγει από αυτό είναι πολύ εύκολο, ενώ η υποδομή είναι σε αντίθεση με οτιδήποτε άλλο έχουν δει οι hackers στο παρελθόν. Για να ξεκινήσετε το κυνήγι γενναιοδωρίας στο DeFi, πρέπει να είστε σοβαροί εμπειρογνώμονες κρυπτογράφησης και έμπειρος προγραμματιστής Solidity / Vyper – και τα δύο πράγματα που δεν έρχονται αμέσως. Για έναν χάκερ λευκών καπέλων, υπάρχουν πολλές τυπικές πλατφόρμες Web2 που προσφέρουν πολύ ανταγωνιστικές ανταμοιβές, γιατί πρέπει να ασχολούνται με την έρευνα του DeFi?
Οι άνθρωποι δεν κατανοούν την πρόκληση της εξασφάλισης πρωτοκόλλων. Alpha Homora είπε ότι οποιαδήποτε γενναιοδωρία θα μπορούσαν να έχουν πληρώσει σε σύγκριση με το ληστέο που διακυβεύονταν. Αλλά ο στόχος δεν πρέπει να είναι να πληρώνουν στους χάκερ τι θα μπορούσαν να κλέψουν. Αυτή είναι μια χαμένη πρόταση. Ο στόχος είναι να προσελκύσει καλούς καρδιογράφους λευκών καπέλων για να αναλύσουν το έργο και να πληρώσουν ένα νόμιμο ποσό. Μια γενναιοδωρία που είναι μικρότερη από τα εκατομμύρια που θα μπορούσαν να πάρουν εκμεταλλευόμενοι το σφάλμα, αλλά ένα που μπορεί ακόμα να είναι μια πληρωμή που αλλάζει τη ζωή. Ίσως κάτι σαν 50.000 $, 200.000 $, ανάλογα με την κατάσταση; Αυτό είναι πιθανότατα μικρότερο από το κόστος ενός ελέγχου από μια εταιρεία με μεγάλη σεβασμό.
Σε άλλα νέα
- Η 1inch εγκαινιάζει μια ακόμη «επίθεση βαμπίρ» στο Uniswap, προσφέροντας δωρεάν μάρκες στους (μερικούς) χρήστες του.
- Μια εκκίνηση ξεκινά μια εφαρμογή απόδοσης με δυνατότητα DeFi.
- Η κλίμακα του γκρι θα μπορούσε να προσπαθήσει να δημιουργήσει μια εμπιστοσύνη YFI. Για να είμαστε δίκαιοι, πολλοί άλλοι όπως το SushiSwap ή το Chainlink είναι επίσης υποψήφιοι.
- Διακεκριμένα έργα πίσω από την GoodFi, μια εκπαιδευτική συμμαχία DeFi.
- Η HiFi λανσάρει ένα πρωτόκολλο δανεισμού σταθερού επιτοκίου.