Kewangan Ditentukan Semula: Kes Harvest Finance yang ingin tahu, 21-28 Oktober

Kami dihormati dengan satu “ladang hasil degen” yang lebih khas yang muncul dan tidak relevan minggu ini.

Harvest Finance mengumpulkan sebanyak $ 1 bilion jumlah nilai yang dikunci sebelum “eksploitasi ekonomi” menjatuhkannya. Ukurannya yang terkunci kini melayang sekitar $ 300 juta dan prospek pemulihan kelihatan suram.

Eksploitasi itu sekali lagi menimbulkan perdebatan di kalangan anggota komuniti DeFi mengenai apakah jenis serangan arbitraj berasaskan pinjaman kilat ini sebenarnya adalah peretasan.

Ciri penuaian menghasilkan bilik kebal yang serupa dengan Yearn’s. Mereka menerbitkan saham peti besi berdasarkan nilai aset yang dibekalkan oleh pengguna. Sebilangan bilik kebal ini bergantung pada kolam Y Curve, yang memberi kuasa mudah tunai untuk pertukaran antara USDT, USDC, DAI dan TUSD.

Serangan itu menggunakan pinjaman kilat untuk menukar $ 17 juta USDT menjadi USDC melalui Curve, sementara menaikkan harga USDC menjadi $ 1.01. Penyerang kemudian menggunakan simpanan wang pinjaman sekitar $ 50 juta USDC – yang dianggap sistem bernilai $ 50.5 juta – untuk memasuki peti besi USD Harvest.

Setelah masuk, penyerang akan mengembalikan perdagangan USDC sebelumnya menjadi USDT untuk membawa keseimbangan harga, dan kemudian segera menebus saham kumpulan Harvest mereka untuk menerima $ 50.5 juta USDC – keuntungan bersih $ 500.000 setiap kitaran berulang kali untuk memperoleh $ 24 berjuta juta.

Jadi ini adalah hack atau tidak?

Secara teknikal, tidak ada kelemahan yang terlibat di sini. Terdapat pemeriksaan bypass untuk jenis “perdagangan arbitrage” ini yang mengesan jika harga stablecoin ini menyimpang terlalu banyak dari nilai yang diharapkan. Tetapi ia sudah cukup rendah dan ini sebenarnya lebih daripada sedikit kesulitan daripada penyekat sebenarnya – penyerang hanya perlu menggunakan lebih banyak kitaran eksploitasi.

Urutan ini memusingkan, dan masih menghilangkan banyak langkah.

Oleh itu, pendukung teori bahawa ini hanya perdagangan arbitraj adalah betul – tidak ada tingkah laku yang tidak diingini dalam kod, ia lebih seperti manipulasi pasaran bersenjata diulang dengan pantas.

Pasukan Harvest Finance bagaimanapun memikul tanggungjawab ini sebagai cacat reka bentuk, yang sangat terpuji.

Sejujurnya, saya tidak pasti apakah maksud perbahasan semantik ini. Orang kehilangan wang dengan cara yang dapat dicegah. Audit semestinya mengetahuinya dan menandakannya sebagai masalah kritikal.

Tetapi pasti ada kes yang harus dibuat bahawa ia adalah kategori yang berbeza dari pepijat seperti masuk semula. Ini menekankan bahawa blok bangunan kewangan ini – sering disebut sebagai “money Lego” – mesti dirancang dengan hati-hati di papan gambar.

Seolah-olah seseorang membuat pistol dari bahagian Lego dan orang berdebat jika pistol itu “diciptakan” atau “dijumpai” kerana bahagian itu dipasang secara teknis seperti yang dirancang. Sama ada bahagian Lego harus dikerjakan semula sehingga tidak boleh menjadi senjata yang mematikan.

Kepercayaan yang terlalu tinggi untuk standard crypto

Sebelum peretasan, Harvest terkenal kerana tahap pemusatannya yang melampau. Pada zaman kegemilangannya, semua $ 1 bilion mungkin telah dicuri oleh satu alamat, kemungkinan besar dikendalikan oleh pasukan tanpa nama di belakang projek itu. Beberapa audit mengetengahkan fakta itu, juga menjelaskan bahawa alamat itu dapat mencalonkan pekerja dan membuat token sesuka hati.

Peminat projek dengan bersungguh-sungguh mempertahankannya, mengatakan bahawa kerana kunci masa, pemegang kunci tadbir urus hanya dapat mencuri wang 12 jam setelah menandakan niat mereka, atau bahawa mereka hanya dapat mencetak sejumlah token.

Saya akan membiarkan anda menjadi hakim hujah tersebut. Titik yang lebih luas adalah bahawa dalam mencari hasil, “degens” ini mengabaikan prinsip dasar desentralisasi dan, anda tahu, apa itu DeFi.

Dan saya tidak mengatakan itu buruk kerana beberapa prinsip idealistik yang saya ada. Ini kerana tarikan karpet. Ini adalah keadaan tepat yang menyebabkan bencana seperti UniCats.

Kisah gila bZX

Bercakap mengenai peretasan, saya dengan senang hati menemubual pasukan bZX mengenai tahun mereka yang mengerikan. Mereka mengalami tiga peretasan sepanjang tahun 2023, walaupun beberapa ini pasti terasa seperti “eksploitasi ekonomi” yang disebutkan sebelumnya.

Pasukan ini tidak lain jika tidak berdedikasi. Satu kisah yang tidak berjaya dalam artikel ini adalah bagaimana Kyle Kistner melompat pagar di tengah malam dan memecah masuk komuniti berpagar di mana pengasasnya, Tom Bean tinggal. Nampaknya ada bug yang perlu diperbaiki secara harfiah secepat mungkin.

Dilihat dari cerita, menjadi pemaju DeFi bukan untuk orang yang lemah hati, juga untuk orang yang suka tidur.

Sudah tentu, seseorang tidak dapat tidak memperhatikan bahawa bZX dieksploitasi terlalu kerap. Sebagai bekas pemburu karunia bug, saya pasti dapat melihat bagaimana amalan keselamatan mereka lebih rendah pada awal tahun – misalnya, program bug bounty agak buruk – tetapi saya juga melihat bagaimana mereka membetulkan banyak kesalahan mereka. Mungkin ada masalah lain yang mendasari, tetapi saya rasa mereka akhirnya dapat bangkit semula jika tidak ada lagi insiden yang berlaku.

Ancaman DeFi untuk mempertaruhkan

Laporan ConsenSys menyoroti masalah yang selama ini tidak diendahkan, yang pada dasarnya adalah biaya peluang untuk bertaruh dalam lingkungan DeFi.

Ideanya cukup mudah: wang mengejar hasil tertinggi, dan DeFi nampaknya menawarkan banyak dari mereka hari ini. Malah sesuatu yang agak jinak seperti 20% APY dapat mengalahkan potensi 8% atau lebih daripada meletakkan dan mengesahkan Ethereum 2.0.

Masalah itu semakin bertambah apabila anda menganggap bahawa Fasa 0 Ethereum tidak akan membiarkan anda menarik atau memindahkan token yang anda buat sehingga Tahap 1 atau 2 tiba. Anda pada dasarnya membuat pertaruhan bahawa pasukan akan melaksanakan pelaksanaan sepenuhnya dalam jangka masa yang wajar, dan anda tidak akan mendapat banyak penghargaan atas risiko tersebut.

Dalam senario itu, DeFi yang lebih popular, semakin tidak selamat rangkaiannya, dan itu adalah masalah besar.

Syukurlah, ia sebahagian besarnya dapat dipecahkan melalui staking derivatif – token cair yang disokong oleh cagaran yang digunakan untuk meletakkan, semacam Ether IOU. Terdapat risiko yang terlibat – iaitu bahawa jaminan yang mendasari dapat dipotong dan IOU tiba-tiba bernilai lebih rendah. Perkara yang baik untuk rangkaian adalah hanya DeFi yang terpengaruh dalam kes ini, mewujudkan semula hierarki semula jadi yang penting.

Tetapi itu menunjukkan betapa banyak interaksi yang tidak disengajakan di masa depan. DeFi sudah boleh menjadi sangat rumit, dan jika orang tidak memahaminya sepenuhnya, akibatnya mungkin mengerikan.