Finance Redefined, Cointelegraph’ın her çarşamba abonelere sunulan DeFi merkezli haber bültenidir.
Alpha Homora ve Cream Finance hack, bu hafta DeFi alanında devasa bir iz bıraktı.
Bu, çalınan fonlarda 37 milyon dolar olan DeFi tarihindeki en büyük tek hack. Aynı zamanda, Alpha Homora’daki pek çok Tanrı’ya karşı dürüst güvenlik açıklarından yararlanan en karmaşıklardan biridir. Çok özel koşullarda birkaç eksik girdi kontrolü, bilgisayar korsanının Alpha Homora’nın Cream Finance’ın Iron Bank’ından sınırsız miktarda fon ödünç alma ayrıcalığını kötüye kullanmasına izin verdi. Elbette ani krediler işin içindeydi, ancak Harvest Finance gibi önceki bazı hack’lerden farklı olarak, bu tamamen ekonomik bir istismar gibi görünmüyor.
Saldırı haberi, herhangi bir nedenle Aave dahil olmak üzere, saldırıya dahil olan tüm protokollerin fiyatları üzerinde çok olumsuz bir etkiye sahipti. FTX’teki DeFi Perp’e daha genel bakıldığında, hack gerçekleştiğinde 13 Şubat’ta net bir zirve var..
FTX’in DeFi indeksi, TradingView.
Belki bunların bir kısmı sadece normal piyasa hareketidir, ancak genel olarak hack, şimdilik DeFi sezonuna tek başına son veriyormuş gibi görünüyor..
Denetçiler ısıyı hissediyor
Günümüzde herhangi bir toplu kabul görmeye ulaşan herhangi bir protokol gibi, Alpha Homora her ikisi de yetenekli ve saygın firmalar olan Quantstamp ve PeckShield tarafından denetlendi..
Yine de, saldırının ayrıntıları, bazılarının, potansiyel olarak bu denetim firmalarından biri tarafından içeriden bir iş olduğundan şüphelenmelerine yol açtı. Yearn.finance çekirdek geliştiricisi Banteg bahsedilen Hack’le ilgili ayrıntılar nasıl o kadar belirsizdi ki, herhangi birinin bunu sadece sözleşmelere bakarak çözmesi son derece düşüktü. Bilhassa, bilgisayar korsanı tarafından saldırıya uğrayan havuz habersiz ve kullanılmamıştı, bu da saldırının ilk etapta gerçekleşmesine izin verdi..
Kamuoyunda herhangi bir suçlama olmamasına rağmen, olay, denetçilerin hatayı neden yakalayamadıkları, uygun şekilde teşvik edilip edilmedikleri ve bu durumun nasıl hafifletilebileceği konusunda bir başka tartışmayı daha tetikledi..
Karmaşık bir hacklemenin anatomisi
Eski bir böcek ödül avcısı olarak, denetim ekosisteminin olabildiğince “teşvikle uyumlu” olduğuna gerçekten inanıyorum. Denetim şirketleri, bu tür büyük bir hata ağlarından her sızdığında itibarlarını riske atarlar. Art arda bunlardan yeter ve artık kimse bu işe güvenmeyecek. Denetçiler, bulabildikleri her şeyi bulmak için tüm motivasyona sahiptir, sadece bazen gerçekçi olarak bunu yapamazlar..
Denetim, deneyimli güvenlik mühendislerinden oluşan bir ekibin şüpheli görünen herhangi bir şeyi aramak için kodu taradığı sınırlı süreli bir sözleşmedir. Buradaki anahtar kelimeler “sınırlı süreli” ve “her şeyi arıyor”.
Kişisel deneyimlerimden, şu anda sahip olduğumuz gibi bir hatanın, koda bakarak rastgele bulabileceğiniz bir şey olmadığını söyleyebilirim. Bunun gibi çok adımlı, karmaşık bir hata bulmak yinelemeli bir süreçtir. Olması gerektiği gibi hareket etmeyen o tuhaf şeye senden tökezlemenle başlar. Örneğin, belirli bir görevi yerine getirirken gerçekten oturum açıp açmadığınızı kontrol etmeyi unutan bir web sitesi. O külçeyi alıp kendinize “Bundan nasıl faydalanabilirim?” Diye soruyorsunuz. Fikir üretiyorsunuz, platformu diğer zayıf noktalar için araştırıyorsunuz ve bunları bir şekilde birleştirip birleştiremeyeceğinizi görüyorsunuz. Çoğu zaman gerçekte hiçbir şey bulamazsınız ve bu zayıf nokta istismar edilemez kalır.
Ancak günlerce odaklanmış çalışma, çok sayıda deneme ve hata ile, bazen ilk sorunu nasıl kullanacağınızı anlarsınız. Bu olduğunda, her zaman tek başına alakasız görünen ancak birlikte ele alındığında çirkin bir bulmacaya uyan faktörlerin birleşimidir..
Büyük saldırılara neden olan hataların çoğunu bulmak için gereken odaklanma ve özveri, denetimin kapsamının ötesine geçen bir şeydir. Sahip oldukları zamanla her bir ipucunun peşine düşecek olsalardı, kelimenin tam anlamıyla o kadar çok israf ederlerdi ki, kolayca sömürülebilir ve bariz şeyleri bulamazlardı. Denetçilerin hiçbir zaman karmaşık hatalar bulmadığını söylememek gerekir, ancak onlardan her şeyi bulmalarını beklemek mantıksızdır. Ve eğer bir denetçi gerçekten Alpha Homora hatasını bulup onu engellediyse, ekonomik teşviklerden daha derin sorunlar var..
DeFi nasıl güvenli hale getirilir
Denetimlerle ilgili sorunlar, projelerin gerçekten karmaşık hataları bulmak için hata ödülleri başlatması gerektiği anlamına gelir. Zaman sınırlamaları yoktur, platformu tarayan çok daha fazla gözleri vardır ve ödeme sonuçlara dayalıdır – bir şeyler bulmaları umuduyla denetçilere daha fazla çalışma saati ödemekten çok daha etkilidir.
Alpha Homora’da olmasa da, çoğu böcek ödüllerinin gücünü şimdiye kadar anlıyordu. Ama Yearn.finance gibi projeler yapıyor ve hepsi aynı şekilde hackleniyor.
Bazen böyle şeyler olur. Crypto, bir hatayı para için kullanan ve ondan kurtulmak gerçekten çok kolayken, altyapı hackerların daha önce gördükleri hiçbir şeye benzemeyen sorunlu kombinasyonu taşır. DeFi’de ödül aramaya başlamak için ciddi bir kripto uzmanı ve deneyimli bir Solidity / Vyper programcısı olmanız gerekir – her ikisi de hemen gelmiyor. Beyaz şapkalı bir bilgisayar korsanı için, rekabet gücü yüksek ödüller sunan birçok standart Web2 platformu vardır, neden DeFi’yi araştırmaya zahmet etsinler??
İnsanlar, protokollerin güvenliğini sağlamanın zorluğunu yanlış anlıyor. Alpha Homora dedim ödeyebilecekleri herhangi bir ödül, söz konusu ganimetle karşılaştırıldığında solmuş olurdu. Ancak amaç, bilgisayar korsanlarına çalabileceklerini ödemek olmamalıdır. Bu kaybedilen bir teklif. Amaç, projeyi analiz etmek ve yasal bir ödül almak için iyi kalpli beyaz şapka korsanlarını çekmektir. Hatayı kullanarak elde edebilecekleri milyonlardan daha az bir ödül, ancak yine de hayat değiştiren bir ödeme olabilir. Duruma göre 50.000, 200.000 $ gibi bir şey olabilir mi? Bu muhtemelen çok saygın bir firma tarafından yapılan tek bir denetimin maliyetinden daha azdır.
Diğer haberlerde
- 1inch, kullanıcılarına (bazılarına) ücretsiz tokenlar airdrop göndererek Uniswap’te başka bir “vampir saldırısı” başlatıyor.
- Bir startup, DeFi özellikli bir getiri uygulamasını başlatır.
- Grayscale bir YFI güveni kurmaya çalışıyor olabilir. Adil olmak gerekirse, SushiSwap veya Chainlink gibi pek çok kişi de adaydır..
- DeFi eğitim ittifakı olan GoodFi’nin öne çıkan projeleri.
- HiFi, sabit oranlı bir faiz ödünç verme protokolü başlattı.