Finansai iš naujo apibrėžti: vienas įsilaužimas norint sumažinti visą rinką, vasario 10–17 d

„Finance Redefined“ yra „Cointelegraph“ „DeFi“ orientuotas naujienlaiškis, kuris abonentams pristatomas kiekvieną trečiadienį.

„Alpha Homora“ ir „Cream Finance“ įsilaužimai šią savaitę padarė didžiulį ženklą „DeFi“ erdvėje.

Tai didžiausias pavogtų lėšų „DeFi“ istorijoje už 37 mln. USD. Tai taip pat yra viena iš sudėtingiausių, matyt, panaudojanti keletą sąžiningų Dievui pažeidžiamumų Alpha Homora. Keli trūkę įvesties patikrinimai labai specializuotomis sąlygomis leido įsilaužėliui piktnaudžiauti „Alpha Homora“ privilegija skolintis neribotą kiekį lėšų iš „Cream Finance“ geležinio banko. Greitosios paskolos, žinoma, buvo susijusios, tačiau, priešingai nei kai kurie ankstesni įsilaužimai, tokie kaip „Harvest Finance“, neatrodo, kad tai buvo vien ekonominis išnaudojimas.

Žinia apie įsilaužimą labai neigiamai paveikė visų įsilaužimų protokolų kainas, įskaitant Aave kažkodėl. Pažvelgus į „DeFi Perp“ FTX, vasario 13 d., Kai įvyko įsilaužimas, yra aiškus pikas..

FTX „DeFi“ indeksas „TradingView“.

Galbūt kai kurie iš jų yra tik įprasti rinkos veiksmai, tačiau apskritai atrodo, kad įsilaužimas vienas pats nutraukė „DeFi“ sezoną, kol kas.

Auditoriai jaučia šilumą

Kaip ir bet kurį šiandien masinį priėmimą pasiekusį protokolą, „Alpha Homora“ auditavo „Quantstamp“ ir „PeckShield“, tiek kvalifikuotos, tiek garbingos firmos..

Tačiau dėl įsilaužimo detalių kai kurie įtarė, kad tai yra vidinis darbas, kurį gali atlikti kažkas iš šių audito įmonių. „Yearn.finance“ pagrindinis kūrėjas Bantegas minimas kaip įsilaužimo detalės buvo tokios neaiškios, kad buvo mažai tikėtina, kad kas nors tai supras tik pažvelgęs į sutartis. Pažymėtina, kad įsilaužėlio užpultas baseinas buvo nepraneštas ir nenaudojamas, o tai leido pirmiausia nulaužti.

Nors viešų kaltinimų nebuvo, įvykis sukėlė dar vieną diskusiją, kodėl auditoriams nepavyko užfiksuoti klaidos, ar jie tinkamai skatinami ir kaip galima sušvelninti šią situaciją.

Kompleksinio įsilaužimo anatomija

Kaip buvęs klaidų premijų medžiotojas, aš tikrai tikiu, kad audito ekosistema yra maždaug tokia, kokia gali būti „paskata“. Audito įmonės rizikuoja savo reputacija kiekvieną kartą, kai per jų tinklus praslysta didelė tokia klaida. Pakanka jų greitai iš eilės ir niekas nebepasitikės tuo verslu. Auditoriai turi visą motyvaciją rasti viską, ką gali, tiesiog kartais realiai to padaryti negali.

Auditas yra ribotos trukmės sutartis, kurios metu patyrusių saugumo inžinierių komanda peršoka kodą ieškodama visko, kas atrodo įtartina. Čia raktiniai žodžiai yra „riboto laiko“ ir „ko nors ieškant“.

Iš asmeninės patirties galiu pasakyti, kad tokia klaida, kokią turėjome dabar, nėra tai, ko galite atsainiai rasti žiūrėdami į kodą. Tokio daugiapakopio, sudėtingo klaidos radimas yra kartotinis procesas. Tai prasideda nuo to, kad jūs suklupote dėl to vieno keisto dalyko, kuris elgiasi ne taip, kaip turėtų. Pavyzdžiui, svetainė pamiršo patikrinti, ar iš tikrųjų esate prisijungęs atlikdamas tam tikrą užduotį. Paimk tą grynuolį ir paklausk savęs: „Kaip aš galėčiau tai išnaudoti?“ Jūs sugalvojate idėjų, ieškote platformoje kitų silpnųjų vietų ir pamatysite, ar galite jas kažkaip sujungti. Dažniausiai iš tikrųjų nieko nerandate ir ta silpnoji vieta lieka neišnaudojama.

Tačiau dirbdami daug dienų, atlikdami kelis bandymus ir klaidas, kartais suprantate, kaip išnaudoti pradinę problemą. Kai tai atsitinka, tai visada yra veiksnių derinys, kuris vienas atrodo nesvarbus, tačiau kartu paimtas į bjaurų galvosūkį.

Dėmesys ir atsidavimas, reikalingas norint rasti daugumą klaidų, dėl kurių atsirado didelių įsilaužimų, yra kažkas, kas nepatenka į audito sritį. Jei jie vaikytųsi kiekvieną šviną turėdami laiko, jie tiesiogine to žodžio prasme iššvaistytų tiek daug, kad nepavyktų rasti lengvai išnaudojamų ir akivaizdžių dalykų. Negalima sakyti, kad auditoriai niekada neranda sudėtingų klaidų, tačiau neprotinga tikėtis, kad jie ras viską. Ir jei auditorius tikrai rado „Alpha Homora“ klaidą ir ją sustabdė, yra svarbesnių problemų nei ekonominės paskatos.

Kaip apsaugoti „DeFi“

Audito klausimai reiškia, kad projektai turėtų pradėti gerinti klaidas, kad rastų tikrai sudėtingų klaidų. Jie neturi laiko apribojimų, daug daugiau akių apžiūrinėja platformą, o atlyginimas priklauso nuo rezultatų – daug efektyvesnis nei mokant auditoriams daugiau darbo valandų tikintis, kad jie ką nors ras.

Daugelis supranta klaidų gausų galią, nors, žinoma, „Alpha Homora“ jos neturėjo. Tačiau tokie projektai, kaip „Yearn.finance“, ir jie buvo nulaužti vienodai.

Kartais šie dalykai tiesiog nutinka. „Crypto“ turi problemišką kombinaciją, kad iš tikrųjų išnaudoti klaidą pinigams ir išsisukti yra labai lengva, o infrastruktūra nepanaši į nieką kitą, kurį įsilaužėliai matė anksčiau. Norėdami pradėti ieškoti medžioklės „DeFi“, turite būti rimtas kripto ekspertas ir patyręs „Solidity / Vyper“ programuotojas – abu dalykai atsiranda ne tik iš karto. Baltos skrybėlės įsilaužėliui yra daugybė standartinių „Web2“ platformų, siūlančių labai konkurencingus apdovanojimus, kodėl jie turėtų vargti tyrinėdami „DeFi“?

Žmonės neteisingai supranta iššūkį užtikrinti protokolus. Alfa Homora sakė kad bet kokia užmokestis, kurią jie galėjo sumokėti, būtų nublankę, palyginti su grobiu. Tačiau tikslas neturėtų būti sumokėti įsilaužėliams tai, ką jie galėtų pavogti. Tai pralaimėjęs pasiūlymas. Tikslas yra pritraukti geros širdies baltų skrybėlių įsilaužėlius, kad jie analizuotų projektą ir gautų teisėtą atlygį. Dovana, kuri yra mažesnė nei milijonai, kuriuos jie galėtų gauti išnaudodami klaidą, tačiau tokia suma, kuri vis tiek gali pakeisti gyvenimą. Galbūt kažkas panašaus į 50 000, 200 000 USD, priklausomai nuo situacijos? Tai greičiausiai mažiau nei vieno labai vertinamos firmos vieno audito kaina.

Kitose naujienose

  • „1inch“ pradeda dar vieną „vampyro ataką“ prieš „Uniswap“, kai (kai kuriems) jos vartotojams skirtų nemokamų prieigos raktų.
  • Paleistis paleidžia „DeFi“ palaikomą derliaus programą.
  • „Grayscale“ gali siekti įsteigti YFI pasitikėjimą. Teisybės dėlei reikia pasakyti, kad daugelis kitų, pvz., „SushiSwap“ ar „Chainlink“, taip pat yra kandidatai.
  • Žinomi projektai palaiko „GoodFi“, „DeFi“ švietimo aljansą.
  • „HiFi“ pradeda fiksuoto palūkanų skolinimo protokolą.