Facebook 
Pinterest Kemunduran DeFi Terbaru dan Mahal Memberi Pelajaran untuk Sektor
“Peretasan” DAO masuk ke dalam ingatan kolektif komuniti cryptocurrency. Selepas crowdfund yang sangat berjaya pada bulan Mei 2016, DAO bertahan lebih dari sebulan sebelum penyerang mula mengeluarkan dana dari kontrak pintar, dengan mengambil Ether bernilai sekitar $ 70 juta (ETH).
Namun, seperti yang ditunjukkan beberapa orang pada masa itu, kejadian DAO sama sekali tidak meretas. Penyerang hanya mengeksploitasi kerentanan dalam kod kontrak pintar yang mendasari untuk membuatnya berperilaku dengan cara yang tidak diharapkan oleh pengaturcara. Walaupun begitu, kejadian itu memecahbelahkan komuniti Ethereum setelah keputusan dibuat untuk melaksanakan garpu keras yang akan mengembalikan dana.
Maju cepat ke awal tahun 2023, dan terdapat lebih dari $ 1 bilion kripto yang terikat dalam kewangan terdesentralisasi. Itu $ 1 bilion di bawah pengurusan kontrak pintar. Oleh itu, berdasarkan sejarah, mungkin tidak dapat dielakkan seseorang akhirnya dapat menemukan cara membuat aplikasi ini tampil dengan cara yang tidak diharapkan oleh siapa pun. Yang pertama datang pada Februari 2023, dengan dua serangan berasingan pada platform perdagangan terdesentralisasi bZx. Baru-baru ini, penggodam menghasilkan $ 25 juta dari platform pinjaman Cina Lendf.me, yang dikendalikan oleh dForce.
Walaupun penggodam tidak terlibat, aplikasi DeFi telah menunjukkan kelemahan lain. Semasa “Black Thursday” crypto pada pertengahan Mac, MakerDAO membubarkan pinjaman bernilai lebih $ 4 juta ketika harga ETH menjunam. Kerosakan itu menghasilkan keputusan pemerintahan yang pantas dan lelongan hutang untuk memperbaiki kerosakan tersebut.
Sebilangan besar komen telah menumpukan pada apakah DeFi dapat pulih dari kemunduran ini atau tidak. Berdasarkan sejarah kejadian DAO, nampaknya tidak dapat dielakkan bahawa DeFi akan melakukan pemulihan. Mungkin persoalan yang lebih relevan adalah, apa yang dapat dipelajari oleh pengendali DeFi DApp dari insiden tersebut untuk membantu mengelakkannya berlaku pada masa akan datang?
Kemenangan mudah dari dForce
Kejadian terbaru yang melibatkan peretasan Lendf.me memberikan beberapa kemenangan mudah. Platform ini adalah DApp pinjaman terbesar di China. Namun, ternyata peretasan itu dilakukan kerana dForce telah menyalin kod dari Compound versi sebelumnya, aplikasi pinjaman terdesentralisasi yang lain. Kod lama Compound tidak dapat melindungi dari jenis serangan yang dikenali sebagai “reentrancy” khusus untuk token ERC-777.
Oleh kerana masalah ini, Compound tidak menyokong token ERC-777. Walau bagaimanapun, nampaknya ketika dForce menyalin kod tersebut, ia tidak benar-benar memahami kerentanan ini, kerana tidak meletakkan langkah yang sama, yang membolehkan token ERC-777 digunakan di Lendf.me. Akibatnya, penyerang mengeksploitasi kerentanan, menggunakan token ERB-777 imBTC untuk mengalirkan $ 25 juta dari platform.
Penggodam sejak itu mengembalikan dana, tetapi ini bukan pembelaannya sendiri. Seperti yang dilaporkan oleh Cointelegraph, dForce telah menghadapi kritikan karena gagal mengambil langkah yang cukup untuk mencegah serangan semacam itu. Oleh itu, jika mengandaikan bahawa dForce tidak tahu mengenai masalah ini, bagaimana mereka dapat mengelakkannya? Alex Melikhov, Ketua Pegawai Eksekutif dan pengasas bersama Equilibrium – penerbit stablecoin EOSDT yang berpusat di EOS – adalah peminat idea idea rakan sebaya. Dia memberitahu Cointelegraph bahawa “semakan kod oleh pihak ketiga dapat mencegah kejadian itu,” sambil menambah:
“Aspek penting di sini adalah membangun kerangka pengujian dan audit kod. Prinsip empat mata sangat sesuai untuk pengembangan kod dan tentunya mengurangkan risiko kerentanan. Walaupun kerjasama dForce dengan PeckShield (yang telah mengaudit secara terbuka protokol USDx dan Yield Enhancing), nampaknya juruaudit belum memeriksa kod protokol pinjamannya LendfMe. “
Dan Schatt, Ketua Pegawai Eksekutif dan pengasas bersama platform pinjaman terpusat Cred, bersetuju, malah menyarankan agar masyarakat dapat memainkan peranan di sini. Dia menyatakan kepada Cointelegraph, “Karunia bug dapat membantu mendorong masyarakat untuk mencari jenis kerentanan yang dapat menyebabkan serangan dan eksploitasi jenis kerentanan semacam ini.”
Pada masa penerbitan, dForce telah disahkan bahawa 100% pengguna yang terkena serangan telah dikembalikan melalui usaha pengagihan semula asetnya. Oleh itu, dForce memang menjawab permintaan Cointelegraph untuk memberi komen. Mindao Yang, pengasas dForce, menyatakan bahawa setelah merenung:
“Serangan serupa berlaku pada penggodaman kumpulan Uniswap / imBTC sebelum kejadian [Lendf.me]. Kerentanan Uniswap, yang berkaitan dengan token ERC777, telah diketahui sejak akhir 2023, tetapi kombinasi token ERC777 dan kod Compound V1 yang memperkenalkan permukaan serangan masuk semula hanya menjadi perhatian kami setelah kejadian itu. Kami mungkin lebih waspada ketika penggodaman kumpulan Uniswap / imBTC berlaku dan mungkin lebih berhati-hati ketika menggunakan aset baru. “
Yang meneruskan dengan mengatakan bahawa platform itu merancang untuk mengelakkan serangan serupa, dan akan menggunakan beberapa pakar luar pada masa akan datang:
“Kami akan melibatkan perunding keselamatan pihak ketiga terbaik untuk membantu audit penuh dan membantu kami memperkuat amalan keselamatan masa depan kami. Kami akan mencari masa yang tepat untuk menggunakan semula protokol pasaran wang terdesentralisasi baru dan protokol lain. Melangkah ke hadapan, dengan bantuan mereka, kami akan memperkenalkan proses integrasi yang ketat dan diaudit ketika memperkenalkan aset ke dalam ekosistem dForce. “
Jurucakap itu mengesahkan bahawa perincian lebih lanjut mengenai tindakan yang diambil dalam hal ini akan dikongsi dalam catatan blog yang akan datang.
BZx – masalah yang lebih rumit
Sebelum kejadian dForce baru-baru ini, platform perdagangan DeFi bZx dilanda dua kali dalam masa seminggu. Serangan ini kurang kepada kod buggy daripada tahap ketidakmatangan dan kecairan ruang cryptocurrency yang relatif rendah. Pertukaran derivatif – sama ada berpusat atau terdesentralisasi – bergantung pada harga. Ini biasanya diambil dari pasar spot, menggunakan harga rata-rata dari pelbagai bursa.
Bagi platform DeFi, suapan harga berasal dari pertukaran yang terdesentralisasi seperti Uniswap dan Kyber. Masalahnya adalah kerana beberapa token mempunyai kecairan yang rendah pada platform ini, agak mudah untuk memanipulasi harganya.
Berkaitan: Adakah Serangan Pinjaman Kilat BZx Menandakan Akhir DeFi?
BZx menangani kejadian itu dengan baik, meliputi kerugian $ 900,000 pengguna dari dana insurans. Penyelidik Deribit Su Zhu dan Hasu sebelum ini dijelaskan bagaimana oracle harga terdedah kepada manipulasi walaupun di bursa terpusat seperti BitMEX. Di DeFi, di mana pertukaran terdesentralisasi bergantung pada data harga, orang boleh mengatakan bahawa kemalangan ini berlaku.
Namun, ini menghadirkan teka-teki yang menarik – satu-satunya cara untuk menyelesaikan cabaran adalah dengan membawa lebih banyak pengguna untuk memasukkan kecairan ke dalam DEX untuk mengurangkan kerentanan manipulasi. Namun, selagi ada risiko dana dapat dikurangkan, DeFi akan berusaha menarik pengguna.
Kerentanan utama
Akhirnya, beralih kepada peristiwa Black Thursday baru-baru ini, yang menyebabkan pembubaran besar-besaran pada MakerDAO: Sebagaimana kemerosotan harga benar-benar di luar kawalan Maker, adakah pelajaran yang dapat diambil darinya?
Kemerosotan bulan Mac dan pembubaran berikutnya menghasilkan suara untuk mengubah parameter lelang Pembuat dan memperkenalkan USDC, jenis aset cagaran yang tidak berkaitan dengan pasaran crypto. Pengecam DeFi pasti akan mengejek ironi stabilcoin yang disokong crypto yang perlu dijamin oleh setara berpusat.
Namun, mungkin pengenalan USDC oleh Maker menunjukkan kematangan tertentu dalam pengiktirafan masyarakat bahawa usia muda pasaran DeFi bermaksud ia perlu mengikuti contoh rakan sejawatnya yang agak stabil dan berpusat sehingga dapat berdiri dengan dua kakinya sendiri. Bagaimanapun, pengasas Maker Rune Christensen baru-baru ini memberitahu Cointelegraph dalam temu bual bahawa dia percaya DeFi akhirnya akan bergabung dengan CeFi, yang menggambarkan bahawa mungkin penggunaan USDC oleh Maker adalah peramal awal langkah ini.
Setelah mencapai tonggak bernilai $ 1 bilion tahun ini, adalah persoalan kapan (dan bukannya jika) DeFi akan pulih dari kemunduran ini dan menuntut kembali nombor itu sekali lagi. Walau bagaimanapun, kenyataan bahawa kemunduran ini berlaku sama sekali menunjukkan bahawa pengasas DeFi tidak seharusnya fokus pada sejauh mana sektor ini telah melangkah, melainkan sejauh mana masih perlu dilalui. Dengan belajar dari insiden baru-baru ini, ada kemungkinan pemulihan lebih cepat.