Definisikan Kewangan: Satu peretasan untuk menjatuhkan keseluruhan pasaran, 10-17 Februari

Finance Redefined adalah buletin DeFi-centric Cointelegraph, yang dihantar kepada pelanggan setiap hari Rabu.

Peretasan Alpha Homora dan Cream Finance telah membuat tanda besar di ruang DeFi minggu ini.

Ini adalah hack tunggal terbesar dalam sejarah DeFi dengan dana $ 37 juta yang dicuri. Ini juga merupakan salah satu yang paling kompleks, nampaknya memanfaatkan beberapa kelemahan jujur ​​kepada Tuhan di Alpha Homora. Beberapa pemeriksaan input yang hilang dalam keadaan yang sangat khusus membolehkan penggodam menyalahgunakan hak istimewa Alpha Homora untuk meminjam sejumlah dana dari Iron Bank Cream Finance. Pinjaman kilat tentu saja terlibat, tetapi tidak seperti beberapa peretasan sebelumnya seperti Harvest Finance, ini sepertinya bukan merupakan eksploitasi ekonomi semata-mata.

Berita mengenai peretasan mempunyai kesan yang sangat negatif terhadap harga untuk semua protokol yang terlibat dalam penggodaman, termasuk Aave untuk beberapa alasan. Melihat lebih umum pada DeFi Perp di FTX, ada puncak yang jelas tepat pada 13 Februari ketika peretasan itu berlaku.

Indeks DeFi FTX, dengan ihsan Pandangan Perdagangan.

Mungkin sebahagian dari itu adalah tindakan pasaran yang biasa, tetapi secara keseluruhan ia kelihatan seolah-olah peretasan itu sendiri mengakhiri musim DeFi, buat masa ini.

Juruaudit merasakan kepanasan

Seperti mana-mana protokol yang mencapai penggunaan besar-besaran hari ini, Alpha Homora diaudit oleh Quantstamp dan PeckShield, keduanya syarikat yang mahir dan terhormat.

Namun, perincian peretasan itu menyebabkan beberapa orang mengesyaki itu adalah pekerjaan dalam, berpotensi oleh seseorang di firma audit ini. Pemaju teras Yearn.finance Banteg disebutkan bagaimana perincian peretasan itu begitu kabur sehingga tidak mungkin ada yang mengetahuinya hanya dengan melihat kontraknya. Terutama, kolam yang diserang oleh penggodam itu tidak diumumkan dan tidak digunakan, itulah yang memungkinkan peretasan itu berlaku sejak awal.

Walaupun tidak ada tuduhan umum, kejadian itu memicu perbincangan lain tentang mengapa juruaudit gagal menangkap bug, apakah mereka diberi insentif dengan betul, dan bagaimana keadaan ini dapat dikurangkan.

Anatomi peretasan kompleks

Sebagai bekas pemburu karunia bug, saya benar-benar percaya bahawa ekosistem pengauditan adalah “selaras dengan insentif” sebagaimana adanya. Syarikat-syarikat pengauditan mempertaruhkan reputasi mereka setiap kali bug besar seperti ini tergelincir melalui jaring mereka. Cukup banyak perkara ini berturut-turut dan tidak ada yang mempercayai perniagaan itu lagi. Juruaudit mempunyai semua motivasi untuk mencari semua yang mereka boleh, cuma kadang-kadang mereka secara realistik tidak dapat melakukannya.

Audit adalah kontrak masa terhad di mana sekumpulan jurutera keselamatan yang berpengalaman menyisipkan kod untuk mencari apa sahaja yang kelihatan mencurigakan. Kata kunci di sini adalah “masa terhad” dan “mencari apa sahaja.”

Saya dapat mengatakan dari pengalaman peribadi bahawa bug seperti yang kita ada sekarang bukanlah sesuatu yang dapat anda temui dengan mudah dengan melihat kodnya. Mencari pepijat pelbagai langkah dan kompleks seperti ini adalah proses berulang. Ia bermula dengan anda tersandung pada satu perkara pelik yang tidak bertindak sebagaimana mestinya. Contohnya laman web yang lupa untuk memeriksa sama ada anda benar-benar log masuk ketika melakukan tugas tertentu. Anda mengambil nugget itu dan bertanya pada diri sendiri, “bagaimana saya dapat memanfaatkan ini?” Anda datang dengan idea, menjelajahi platform untuk mencari kelemahan lain dan melihat sama ada anda boleh menggabungkannya entah bagaimana. Sebilangan besar masa anda tidak menjumpai apa-apa dan titik kelemahan itu tetap tidak dapat dieksploitasi.

Tetapi dengan hari kerja yang fokus, pelbagai percubaan dan kesilapan, kadang-kadang anda dapat mengetahui bagaimana memanfaatkan isu awal. Apabila ia berlaku, ini selalu merupakan gabungan faktor-faktor yang kelihatannya tidak relevan, tetapi secara bersama-sama, ia sesuai dengan teka-teki yang tidak menyenangkan.

Fokus dan dedikasi yang diperlukan untuk mencari sebahagian besar pepijat yang mengakibatkan peretasan utama adalah sesuatu yang melampaui skop audit. Sekiranya mereka mengejar setiap pendahuluan dengan masa yang mereka ada, mereka benar-benar akan membuang begitu banyak sehingga mereka gagal menemui perkara yang mudah dimanfaatkan dan jelas. Bukan untuk mengatakan bahawa juruaudit tidak pernah menemui pepijat yang rumit, tetapi tidak masuk akal untuk mengharapkan mereka menemui semuanya. Dan sekiranya juruaudit benar-benar menemui pepijat Alpha Homora dan menahannya, ada masalah yang lebih mendalam daripada insentif ekonomi.

Cara melindungi DeFi

Masalah dengan audit bermaksud bahawa projek harus melancarkan kutu bug untuk mencari bug yang sangat kompleks. Mereka tidak mempunyai had masa, banyak lagi mata yang menjelajahi platform, dan gaji berdasarkan hasil – jauh lebih cekap daripada membayar auditor lebih banyak waktu kerja dengan harapan mereka akan menemui sesuatu.

Sebilangan besar memahami kekuatan bug karunia sekarang, walaupun sudah tentu Alpha Homora tidak memilikinya. Tetapi projek seperti Yearn.finance berlaku, dan semuanya digodam sama.

Kadang-kadang perkara ini berlaku. Crypto membawa kombo bermasalah yang sebenarnya mengeksploitasi bug untuk mendapatkan wang dan menjauhinya sangat mudah, sementara infrastrukturnya tidak seperti apa yang dilihat oleh penggodam sebelumnya. Untuk mula memburu karunia di DeFi, anda harus menjadi pakar crypto yang serius dan pengaturcara Solidity / Vyper yang berpengalaman – kedua-dua perkara yang tidak hanya datang dengan segera. Untuk penggodam topi putih, terdapat banyak platform Web2 standard yang menawarkan karunia yang sangat kompetitif, mengapa mereka perlu bersusah payah meneliti DeFi?

Orang salah faham mengenai keselamatan protokol. Alpha Homora kata bahawa apa-apa karunia yang dapat mereka bayar akan berkurang berbanding dengan harta rampasan yang dipertaruhkan. Tetapi tujuannya bukanlah untuk membayar apa yang dapat dicuri oleh penggodam. Itu cadangan yang kalah. Tujuannya adalah untuk menarik penggodam topi putih yang baik hati untuk menganalisis projek dan mendapat wang yang sah. Bounty yang kurang daripada berjuta-juta yang mereka dapat dengan memanfaatkan bug, tetapi yang masih boleh menjadi pembayaran yang mengubah hidup. Mungkin sesuatu seperti $ 50,000, $ 200,000, bergantung pada keadaannya? Itu mungkin lebih rendah daripada kos satu audit oleh syarikat yang sangat dihormati.

Dalam berita lain

  • 1inch melancarkan satu lagi “serangan vampire” di Uniswap dengan memberikan token percuma kepada (sebahagian) penggunanya.
  • Permulaan melancarkan aplikasi hasil DeFi-enabled.
  • Skala kelabu mungkin ingin mewujudkan kepercayaan YFI. Untuk bersikap adil, banyak yang lain seperti SushiSwap atau Chainlink juga calon.
  • Projek terkemuka menyokong GoodFi, sekutu pendidikan DeFi.
  • HiFi melancarkan protokol pinjaman faedah tetap.