Bu hafta alaka düzeyine giren ve alaka düzeyini yitiren tipik bir “dejen verim çiftliği” daha gördük..
Harvest Finance, bir “ekonomik sömürü” onu çökertmeden önce kilitlenmiş toplam değer olarak 1 milyar dolar topladı. Değeri kilitli önlem şu anda 300 milyon dolar civarında seyrediyor ve kasvetli görünen bir iyileşme beklentisi.
Suistimal, DeFi topluluğu üyeleri arasında bu tür flash kredi tabanlı arbitraj saldırılarının aslında hack olup olmadığı konusundaki tartışmaları yeniden alevlendirdi..
Harvest özellikleri, Yearn’ınkine benzer tarım mahzenleri verir. Kullanıcılar tarafından sağlanan varlıkların değerine göre tokenize edilmiş kasa payları çıkarırlar. Bu kasalardan bazıları, USDT, USDC, DAI ve TUSD arasındaki takaslar için likidite sağlayan Curve’un Y havuzuna dayanmaktadır..
Saldırı, 17 milyon USDT’yi Curve aracılığıyla USDC’ye dönüştürmek için flash krediler kullandı ve USDC fiyatını geçici olarak 1.01 $ ‘a yükseltti. Saldırgan daha sonra Harvest USDC kasasına girmek için sistem tarafından 50.5 milyon dolar değerinde olduğu düşünülen 50 milyon USDC tutarında başka bir flash ödünç zulası kullandı..
Girdikten sonra, saldırgan, fiyatı dengede tutmak için önceki USDC ticaretini USDT’ye geri çevirir ve ardından Harvest’ın havuzlarındaki hisselerini 50.5 milyon USDC olarak almak için kullanır – 24 $ elde etmek için döngü başına 500.000 $ net kâr yeterince tekrarlanır. milyonlarca ganimet.
Bu bir hack mi değil mi?
Teknik olarak, burada herhangi bir güvenlik açığı yoktu. Bu stabilcoinlerin fiyatının amaçlanan değerinden çok fazla sapıp sapmadığını tespit eden bu tür “arbitraj ticareti” için atlanmış bir kontrol vardı. Ancak zaten oldukça düşük ayarlanmıştı ve gerçek bir engelleyiciden çok daha hafif bir rahatsızlıktı – bir saldırganın yalnızca daha fazla sömürü döngüsü kullanması gerekiyor.
Bu sekans baş döndürücüdür ve hala birçok adımı atlamaktadır..
Bu anlamda, bunun sadece bir arbitraj ticareti olduğu teorisinin savunucuları haklıdır – kodda istenmeyen davranış yoktur, daha çok hızla tekrarlanan silahlı piyasa manipülasyonu gibidir..
Harvest Finance ekibi yine de bunun sorumluluğunu övgüye değer bir tasarım hatası olarak üstlendi.
Dürüst olmak gerekirse, bu anlamsal tartışmaların amacının ne olduğundan bile emin değilim. İnsanlar önlenebilir bir şekilde para kaybetti. Bir denetim bunu yakalayıp kritik bir sorun olarak işaretlemeliydi.
Ama kesinlikle yeniden giriş gibi böceklerden farklı bir kategori olduğu söylenecek bir durum var. Bu finansal yapı taşlarının – genellikle “para Lego” olarak anılır – çizim tahtasında azami özen gösterilerek tasarlanması gerektiğini vurgular..
Sanki biri Lego parçalarından bir silah yarattı ve insanlar silahın “yaratıldı” mı yoksa “keşfedildi” mi, çünkü parçalar teknik olarak tasarlandığı gibi monte edildiğinden tartışıyor gibiydi. Her iki durumda da Lego parçaları, ölümcül bir silah olamayacak şekilde yeniden işlenmelidir..
Kripto standartları için biraz fazla güven
Hack’ten önce Harvest, aşırı derecede merkezileştirilmesiyle dikkat çekiyordu. Görkemli günlerinde, 1 milyar doların tamamı, büyük olasılıkla projenin arkasındaki isimsiz ekip tarafından kontrol edilen tek bir adres tarafından çalınabilirdi. Birkaç denetim bu gerçeğin altını çizdi ve ayrıca adresin darphane memurlarını aday gösterebildiğini ve istediği zaman jeton oluşturabildiğini açıkça ortaya koydu.
Projenin hayranları, zaman kilidi nedeniyle, yönetişim anahtar sahiplerinin niyetlerini bildirdikten 12 saat sonra parayı çalabileceklerini veya yalnızca sınırlı sayıda jeton basabileceklerini söyleyerek, projeyi şiddetle savundu..
Bu argümanların yargıcı olmanıza izin vereceğim. Daha geniş bir nokta, verim arayışında bu “degens” lerin ademi merkeziyetçiliğin temel ilkelerini ve DeFi’nin ne hakkında olduğunu biliyorsunuzdur..
Ve sahip olduğum idealist ilkelerden dolayı bunun kötü olduğunu söylemiyorum. Halı çekmeleri yüzünden. Bunlar, UniCats gibi felaketlere yol açan kesin koşullardır..
BZX’in çılgın hikayesi
Hack’lerden bahsetmişken, bZX ekibiyle korkunç yılları hakkında röportaj yapmaktan zevk aldım. 2020’de toplam üç saldırıya uğradılar, ancak bunlardan bazıları kesinlikle daha önce bahsedilen “ekonomik istismarlar” gibi hissediyorlar..
Takım adanmış değilse hiçbir şey değildir. Kyle Kistner’ın gecenin bir yarısında bir çitten nasıl atladığı ve kurucu ortağı Tom Bean’in yaşadığı kapılı topluluğa nasıl girdiği, makaleye uymayan bir hikaye. Görünüşe göre, mümkün olan en kısa sürede tam anlamıyla düzeltilmesi gereken bir hata vardı.
Hikayeden yola çıkarsak, bir DeFi geliştiricisi olmak gönülsüzler için veya uyumayı seven insanlar için değildir..
Elbette kimse yardım edemez ama bZX’in çok sık kullanıldığına dikkat edin. Eski bir böcek ödül avcısı olarak, güvenlik uygulamalarının yılın başlarında nasıl ortalamanın altında olduğunu kesinlikle görebiliyordum – örneğin, hata ödül programı oldukça kötüydü – ama aynı zamanda birçok hatayı nasıl düzelttiklerini de gördüm. Belki altta yatan başka sorunlar vardır, ancak bence daha fazla olay yaşanmazsa sonunda geri dönebilirler..
Stake etmeye yönelik DeFi tehdidi
Bir ConsenSys raporu, şu ana kadar göz ardı edilen bir sorunu vurgulamaktadır, bu da esasen bir DeFi ortamında stake etmenin fırsat maliyetidir..
Fikir oldukça basit: para en yüksek verimi takip ediyor ve DeFi bugünlerde bunlardan bol miktarda sunuyor gibi görünüyor. % 20 APY gibi nispeten uysal bir şey bile, Ethereum 2.0’ı stake etme ve onaylama yoluyla potansiyeli% 8 kadar aşabilir..
Ethereum’un Aşama 0’ın taahhüt ettiğiniz jetonları Aşama 1 veya 2 gelene kadar geri çekmenize veya aktarmanıza izin vermeyeceğini düşündüğünüzde bu sorun daha da karmaşık hale geliyor. Temelde, takımın tam bir uygulamayı makul bir süre içinde göndereceğine dair bir iddiaya giriyorsunuz ve risk için gerçekten o kadar ödüllendirilmiyorsunuz.
Bu senaryoda, DeFi ne kadar popüler olursa, ağ o kadar az güvenlidir ve bu büyük bir problemdir.
Neyse ki, büyük ölçüde stake türevleri aracılığıyla çözülebilir – stake etme için kullanılan teminatla desteklenen likit tokenler, bir tür Ether IOU. İlgili riskler var – yani temel teminatın kesilebilmesi ve IOU’ların aniden daha az değerli olması. Ağ için iyi olan şey, bu durumda yalnızca DeFi’nin etkilenmesi ve doğal önem hiyerarşisini yeniden oluşturmasıdır..
Ancak bu, gelecekte ne kadar istenmeyen etkileşim olabileceğinin altını çiziyor. DeFi şimdiden son derece karmaşık hale gelebilir ve insanlar bunu tam olarak anlamazsa, sonuçları korkunç olabilir.