Facebook 
Pinterest Finansai iš naujo apibrėžti: įdomus „Harvest Finance“ atvejis, spalio 21–28 d
Šią savaitę mums pasirodė dar vienas tipiškas „degen derliaus ūkis“.
„Harvest Finance“ surinko net 1 milijardą dolerių bendros vertės, užrakintą prieš tai, kai „ekonominis išnaudojimas“ ją nuvertė. Jo vertės užfiksuota priemonė dabar siekia apie 300 milijonų dolerių, o atsigavimo perspektyvos atrodo niūrios.
Išnaudojimas dar kartą pakurstė diskusijas tarp „DeFi“ bendruomenės narių, ar tokio tipo greita paskola pagrįstos arbitražo atakos iš tikrųjų yra nulaužtos.
Derliaus ypatybės suteikia panašius į „Yearn“ ūkinius skliautus. Jie išleidžia tokenizuotas saugyklos akcijas pagal vartotojų pateikto turto vertę. Kai kurie iš šių saugyklų priklauso nuo „Curve“ Y fondo, kuris suteikia likvidumo apsikeitimo sandoriams tarp USDT, USDC, DAI ir TUSD.
Ataka panaudojo greitas paskolas, kad per „Curve“ konvertuotų 17 milijonų USDT į USDC, laikinai padidindami USDC kainą iki 1,01 USD. Tada užpuolikas panaudojo dar vieną greitą paskolintą maždaug 50 mln. USD nuolaidą, kurią sistema vertino kaip 50,5 mln. USD, kad patektų į „Harvest USDC“ saugyklą..
Įėjęs užpuolikas pakeis ankstesnę USDC prekybą atgal į USDT, kad būtų subalansuota kaina, ir tada iš karto išpirktų savo „Harvest“ grupių akcijas, kad gautų 50,5 mln. USD USD – grynasis 500 000 USD pelnas už ciklą, pakartotas pakankamai kartų, kad gautų 24 USD. milijonų grobiu.
Ar tai yra nulaužimas, ar ne?
Techniškai čia nebuvo jokių pažeidžiamumų. Buvo apeita šių tipų „arbitražo sandorių“ patikra, kuria nustatoma, ar šių stabilių monetų kaina per daug skiriasi nuo numatytos vertės. Bet jis jau buvo nustatytas ganėtinai žemai ir tai tikrai yra lengvesnis nepatogumas nei tikrasis blokatorius – užpuolikui tiesiog reikia naudoti daugiau išnaudojimo ciklų.
Ši seka svaigina ir vis tiek praleidžiama daugybė žingsnių.
Taigi ta prasme teorijos šalininkai, kad tai tik arbitražo sandoris, yra teisingi – kode nėra netyčinio elgesio, tai labiau panašu į ginkluotą rinkos manipuliavimą, kuris kartojamas greičiu.
„Harvest Finance“ komanda vis dėlto prisiėmė atsakomybę už tai kaip dizaino trūkumą, o tai yra pagirtina.
Nuoširdžiai sakau, net nesu tikras, kokia šių semantinių diskusijų prasmė. Žmonės prarado pinigus išvengiamu būdu. Auditas turėjo tai pastebėti ir pažymėti kaip kritinę problemą.
Tačiau neabejotinai reikia pasakyti, kad tai yra kitokia kategorija nei tokios klaidos kaip grįžimas. Pabrėžiama, kad šie finansiniai elementai, dažnai vadinami „pinigų lego“, turi būti suprojektuoti labai atsargiai prie piešimo lentos..
Panašu, kad jei kažkas sukūrė ginklą iš „Lego“ dalių ir žmonės diskutavo, ar ginklas buvo „sukurtas“ ar „atrastas“, nes dalys buvo techniškai surinktos taip, kaip suprojektuota. Bet kuriuo atveju „Lego“ dalys turėtų būti perdirbamos taip, kad jos negalėtų tapti mirtinu ginklu.
Šiek tiek per didelis pasitikėjimas kriptografijos standartais
Prieš įsilaužimą „Harvest“ pasižymėjo ypatingu savo centralizavimo laipsniu. Savo šlovės dienomis visus 1 milijardą dolerių pavogė vienas adresas, kurį greičiausiai kontroliavo projekto anoniminė komanda. Pora auditų pabrėžė šį faktą, taip pat aiškiai nurodydami, kad adresas galėjo paskirti kalyklus ir kurti žetonus savo nuožiūra.
Projekto gerbėjai energingai jį gynė sakydami, kad dėl laiko užrakto valdymo raktų turėtojai galėjo pavogti pinigus tik praėjus 12 valandų po to, kai pranešė apie savo ketinimus, arba kad jie galėjo atspausdinti tik ribotą skaičių žetonų.
Leisiu jums būti šių argumentų teisėju. Platesnis dalykas yra tas, kad ieškodami derlingumo, šie „degenai“ nepaiso pagrindinių decentralizavimo principų ir, žinote, kas yra „DeFi“.
Aš nesakau, kad tai yra blogai dėl kai kurių idealistinių principų, kuriuos turiu. Tai dėl kilimėlio traukimo. Tai yra tikslios aplinkybės, dėl kurių įvyko tokios nelaimės kaip „UniCats“.
Pašėlusi bZX istorija
Kalbant apie įsilaužimus, man buvo malonu apklausti „bZX“ komandą apie jų baisius metus. Jie iš viso patyrė tris įsilaužimus per 2023 m., Nors kai kurie iš jų tikrai jaučiasi anksčiau minėti „ekonominiai išnaudojimai“.
Komanda yra niekas, jei nėra skirta. Viena istorija, kuri nepateko į straipsnį, buvo tai, kaip Kyle’as Kistneris vidurnaktį peršoko tvorą ir įsiveržė į vartus, kuriuose gyveno jo įkūrėjas Tomas Beanas. Matyt, buvo klaida, kurią reikėjo kuo greičiau ištaisyti pažodžiui.
Sprendžiant iš pasakojimo, būti „DeFi“ kūrėju nėra silpna širdis, nei miegoti mėgstantys žmonės.
Žinoma, negalima nepastebėti, kad bZX buvo išnaudojamas kiek per dažnai. Kaip buvęs klaidų premijų medžiotojas, aš tikrai galėjau pamatyti, kaip jų saugumo praktika buvo mažesnė už ankstesnius metus – pavyzdžiui, klaidų atlygio programa buvo gana bloga, bet aš taip pat mačiau, kaip jie ištaisė daugelį savo klaidų. Gal yra ir kitų pagrindinių problemų, bet manau, kad jos galų gale gali atšokti, jei daugiau neatsitiktų.
„DeFi“ grėsmė kuoliuotis
„ConsenSys“ ataskaitoje išryškinamas klausimas, į kurį iki šiol nebuvo atsižvelgta, o tai iš esmės yra alternatyvios „DeFi“ aplinkos kainos..
Idėja yra gana paprasta: pinigai siekia didžiausią pajamingumą, ir panašu, kad „DeFi“ šiais laikais jų siūlo daug. Net kai kurie santykinai prisijaukinti, pvz., 20% APY, galėtų įveikti potencialius maždaug 8%, sukaupę ir patvirtinę „Ethereum 2.0“.
Ši problema dar labiau apsunkinama, jei manote, kad „Ethereum“ 0 fazė neleis jums atsiimti ar perduoti savo priskirtų žetonų, kol ateis 1 ar 2 fazė. Jūs iš esmės statote, kad komanda pateiks pilną įgyvendinimą per priimtiną laiką, ir jūs tikrai negausite tokio atlygio už riziką.
Tokiu atveju kuo populiaresnis „DeFi“, tuo mažiau saugus yra tinklas, ir tai yra didelė problema.
Laimei, tai daugiausiai galima išspręsti taikant išvestinius darinius – skystus žetonus, paremtus įkeitimui naudojamu užstatu, tarsi Eterio IOU. Yra rizika – būtent tai, kad pagrindinė užtikrinimo priemonė gali sumažėti, o IOU staiga būtų verta mažiau. Tinklui naudinga tai, kad šiuo atveju paveikta tik „DeFi“, atkuriant natūralią svarbos hierarchiją.
Bet tai pabrėžia, kiek nenumatytų sąveikų gali būti ateityje. „DeFi“ jau gali tapti itin sudėtingas, o jei žmonės to iki galo nesupranta, pasekmės gali būti siaubingos.