Facebook 
Pinterest Le recenti e costose battute d’arresto di DeFi servono da lezione per il settore
L ‘”hack” del DAO scorre in profondità nella memoria collettiva della comunità delle criptovalute. Dopo un crowdfund di grande successo nel maggio 2016, il DAO è durato poco più di un mese prima che un aggressore iniziasse a drenare fondi dallo smart contract, prendendo circa $ 70 milioni di Ether (ETH).
Tuttavia, come alcuni hanno sottolineato all’epoca, l’incidente DAO non è stato affatto un hack. L’autore dell’attacco ha semplicemente sfruttato una vulnerabilità nel codice del contratto intelligente sottostante per farlo comportare in un modo che i programmatori non si aspettavano. Tuttavia, l’incidente ha diviso la comunità di Ethereum dopo che è stata presa la decisione di implementare un hard fork che avrebbe restituito i fondi.
Andando avanti velocemente all’inizio del 2023, c’erano criptovalute per oltre 1 miliardo di dollari impegnate nella finanza decentralizzata. Questo è $ 1 miliardo sotto la gestione di contratti intelligenti. Quindi, alla luce della storia, era forse inevitabile che qualcuno alla fine trovasse il modo di far funzionare queste applicazioni in un modo che nessuno aveva previsto. Il primo è arrivato a febbraio 2023, con due attacchi separati alla piattaforma di trading decentralizzata bZx. Più recentemente, un hacker ha guadagnato $ 25 milioni dalla piattaforma di prestito cinese Lendf.me, gestita da dForce.
Anche quando gli hacker non sono coinvolti, le applicazioni DeFi hanno mostrato altre vulnerabilità. Durante il “giovedì nero” delle criptovalute a metà marzo, MakerDAO ha liquidato prestiti per un valore di oltre $ 4 milioni mentre il prezzo di ETH è crollato. Lo schianto ha provocato un rapido voto sulla governance e un’asta del debito per rimediare al danno.
Gran parte del commento si è concentrato sul fatto che la DeFi possa riprendersi o meno da queste battute d’arresto. Sulla base della storia dell’incidente di The DAO, sembra inevitabile che DeFi si riprenda. Forse la domanda più pertinente è: cosa possono imparare gli operatori DeFi DApp da tali incidenti per evitare che si verifichino in futuro?
Vincite facili da dForce
L’incidente più recente che ha coinvolto l’hack Lendf.me offre alcune facili vittorie. La piattaforma è la più grande DApp di prestito della Cina. Tuttavia, si scopre che l’hack è stato eseguito come conseguenza del fatto che dForce ha copiato il codice da una versione precedente di Compound, un’altra applicazione di prestito decentralizzata. Il vecchio codice di Compound non era in grado di proteggersi dal tipo di attacchi noti come “rientranza” specificamente per i token ERC-777.
A causa di questo problema, Compound non supportava i token ERC-777. Tuttavia, sembra che quando dForce ha copiato il codice, non ha realmente compreso questa vulnerabilità, poiché non ha messo in atto le stesse misure, consentendo ai token ERC-777 di essere utilizzati su Lendf.me. Di conseguenza, l’attaccante ha sfruttato la vulnerabilità, utilizzando il token imBTC ERC-777 per drenare $ 25 milioni dalla piattaforma.
Da allora l’hacker ha restituito i fondi, ma questa non è certo una difesa in sé. Come riportato da Cointelegraph, dForce è stata criticata per non aver adottato misure sufficienti per prevenire un simile attacco. Quindi, se supponendo che dForce semplicemente non fosse a conoscenza del problema, come avrebbero potuto evitarlo? Alex Melikhov, CEO e co-fondatore di Equilibrium – emittente della stablecoin EOSDT basata su EOS – è un grande fan dell’idea delle revisioni tra pari. Ha detto a Cointelegraph che una “revisione del codice da parte di una terza parte avrebbe potuto prevenire l’incidente”, aggiungendo:
“Un aspetto importante qui è la creazione di un framework di test e audit del codice. Il principio dei quattro occhi è perfettamente applicabile allo sviluppo del codice e riduce sicuramente i rischi di vulnerabilità. Nonostante la partnership di dForce con PeckShield (che ha verificato pubblicamente il suo protocollo USDx e Yield Enhancing), sembra che i revisori non abbiano esaminato il codice del suo protocollo di prestito LendfMe. “
Dan Schatt, CEO e co-fondatore della piattaforma di prestito centralizzato Cred, è d’accordo, suggerendo addirittura che la comunità potrebbe svolgere un ruolo qui. Ha dichiarato a Cointelegraph: “I bug bounties possono aiutare a incentivare la comunità a cercare il tipo di vulnerabilità che può portare ad attacchi e allo sfruttamento di questi tipi di vulnerabilità”.
Al momento della pubblicazione, dForce aveva confermato che il 100% degli utenti colpiti dall’attacco era stato rimborsato tramite il suo sforzo di ridistribuzione delle risorse. Da parte sua, dForce ha risposto alla richiesta di commento di Cointelegraph. Mindao Yang, fondatore di dForce, ha affermato che dopo aver riflettuto:
“Un attacco simile ha avuto luogo contro l’hack del pool Uniswap / imBTC prima dell’incidente [Lendf.me]. La vulnerabilità Uniswap, relativa al token ERC777, era nota dalla fine del 2023, ma la combinazione del token ERC777 e del codice Compound V1 che introduceva una superficie di attacco di rientro è venuta alla nostra attenzione solo dopo l’incidente. Avremmo potuto essere più attenti quando è avvenuto l’hacking del pool Uniswap / imBTC e avremmo potuto essere più attenti durante l’onboarding di nuove risorse “.
Yang ha continuato dicendo che la piattaforma prevede di evitare attacchi simili e in futuro affiancherà alcuni esperti esterni:
“Coinvolgeremo i migliori consulenti per la sicurezza di terze parti per assistere con un audit completo e per aiutarci a rafforzare le nostre pratiche di sicurezza future. Troveremo il momento giusto per ridistribuire un nuovo protocollo decentralizzato per il mercato monetario e altri protocolli. Andando avanti, con il loro aiuto, introdurremo un processo di integrazione rigoroso e controllato quando si introducono risorse nell’ecosistema dForce “.
Il portavoce ha confermato che ulteriori dettagli sulle azioni intraprese al riguardo saranno condivisi in un futuro post sul blog.
BZx: una questione più complicata
Prima del recente incidente di dForce, la piattaforma di trading DeFi bZx è stata colpita due volte nell’arco di una settimana. Questi attacchi erano meno dovuti a codice difettoso rispetto all’immaturità e alla liquidità relativamente bassa dello spazio delle criptovalute nel complesso. Gli scambi di derivati, centralizzati o decentralizzati, si basano su oracoli di prezzo. Questi sono solitamente presi dai mercati spot, utilizzando un prezzo medio da più scambi.
Nel caso delle piattaforme DeFi, il feed di prezzo proviene da scambi decentralizzati come Uniswap e Kyber. Il problema è che, a causa della scarsa liquidità di alcuni token su queste piattaforme, è relativamente facile manipolare il prezzo.
Correlati: gli attacchi di prestito flash BZx segnalano la fine della DeFi?
BZx ha gestito bene l’incidente, coprendo $ 900.000 di perdite degli utenti da un fondo assicurativo. I ricercatori di Deribit Su Zhu e Hasu l’hanno già fatto spiegato come gli oracoli dei prezzi siano vulnerabili alla manipolazione anche su scambi centralizzati come BitMEX. In DeFi, dove si fa affidamento sugli scambi decentralizzati per i dati dell’oracolo dei prezzi, si potrebbe dire che questo incidente era sulle carte.
Tuttavia, presenta un enigma intrigante: l’unico modo per risolvere la sfida è coinvolgere più utenti per iniettare liquidità nei DEX per mitigare la vulnerabilità alla manipolazione. Tuttavia, fintanto che esiste il rischio che i fondi possano essere prosciugati, DeFi farà fatica ad attirare gli utenti.
La principale vulnerabilità
Infine, passando al recente evento del Black Thursday, che ha causato liquidazioni di massa su MakerDAO: per quanto il crollo dei prezzi fosse completamente al di fuori del controllo di Maker, ci sono lezioni che possono essere tratte da esso??
Il crollo di marzo e le successive liquidazioni hanno portato a una votazione per modificare i parametri dell’asta del Maker e introdurre USDC, un tipo di asset collaterale non correlato al mercato delle criptovalute. I detrattori di DeFi derideranno senza dubbio l’ironia di uno stablecoin supportato da criptovalute che necessita di essere garantito da un equivalente centralizzato.
Tuttavia, forse l’introduzione di USDC da parte di Maker mostra una certa maturità nel riconoscimento da parte della comunità che la giovane età del mercato DeFi significa che deve seguire l’esempio delle sue controparti centralizzate relativamente stabili fino a quando non può stare in piedi da solo. Dopotutto, il fondatore di Maker Rune Christensen ha recentemente dichiarato a Cointelegraph in un’intervista che crede che DeFi finirà per fondersi con CeFi, illustrando che forse l’uso di USDC da parte di Maker è un primo predittore di questa mossa.
Avendo raggiunto il traguardo di $ 1 miliardo quest’anno, è una questione di quando (piuttosto che se) la DeFi si riprenderà da queste battute d’arresto e reclamerà quel numero ancora una volta. Tuttavia, il fatto che si siano verificate queste battute d’arresto dimostra che i fondatori di DeFi non dovrebbero concentrarsi su quanto lontano è arrivato il settore, ma piuttosto su quanto lontano deve ancora arrivare. Imparando dagli incidenti recenti, c’è la possibilità di un recupero più rapido.