재정의 재정의 : 전체 시장을 무너 뜨리는 하나의 해킹, 2 월 10 일 ~ 17 일

Finance Redefined는 매주 수요일 구독자에게 전달되는 Cointelegraph의 DeFi 중심 뉴스 레터입니다..

Alpha Homora 및 Cream Finance 해킹이 이번 주 DeFi 분야에서 엄청난 성과를 거두었습니다..

DeFi 역사상 가장 큰 단일 해킹으로 3700 만 달러의 자금을 도난당했습니다. 또한 Alpha Homora의 몇 가지 신에게 정직한 취약점을 활용하는 가장 복잡한 것 중 하나입니다. 매우 특수한 조건에서 몇 가지 누락 된 입력 확인으로 인해 해커는 Cream Finance의 Iron Bank에서 무제한 자금을 빌릴 수있는 Alpha Homora의 특권을 남용 할 수있었습니다. 물론 플래시 대출도 관련되었지만 Harvest Finance와 같은 이전 해킹과 달리 이것은 순전히 경제적 악용이 아닌 것 같습니다..

해킹 소식은 어떤 이유로 든 Aave를 포함하여 해킹에 관련된 모든 프로토콜의 가격에 매우 부정적인 영향을 미쳤습니다. FTX의 DeFi Perp를 더 일반적으로 살펴보면 해킹이 발생한 2 월 13 일에 분명한 정점이 있습니다..

FTX의 DeFi 지수, 제공 TradingView.

아마도 그 중 일부는 정상적인 시장 행동 일지 모르지만 전반적으로 해킹이 한 손으로 DeFi 시즌을 끝낸 것처럼 보입니다..

더위를 느끼는 감사 자

오늘날 모든 종류의 대량 채택에 도달하는 모든 프로토콜과 마찬가지로 Alpha Homora는 Quantstamp 및 PeckShield의 감사를 받았습니다..

그러나 해킹의 세부 사항으로 인해 일부는 감사 회사의 누군가가 잠재적으로 내부 작업이라고 의심했습니다. Yearn.finance 핵심 개발자 Banteg 말하는 해킹의 세부 사항이 너무 모호해서 계약서를 보는 것만으로도 아무도 알아낼 수 없었습니다. 특히, 해커의 공격을받은 풀은 예고 및 사용되지 않았기 때문에 처음부터 해킹이 발생했습니다..

공개적인 비난은 없었지만,이 사건은 감사자가 버그를 포착하지 못한 이유, 적절한 인센티브를 받고 있는지,이 상황을 어떻게 완화 할 수 있는지에 대한 또 다른 논의를 촉발 시켰습니다..

복잡한 해킹의 구조

전 버그 현상금 사냥꾼으로서 저는 감사 생태계가 가능한 한 “인센티브에 맞춰져”있다고 믿습니다. 감사 회사는 이와 같은 주요 버그가 그물을 통과 할 때마다 평판을 위험에 빠뜨립니다. 이것들은 빠르게 연속적으로 충분하며 아무도 그 사업을 더 이상 신뢰하지 않을 것입니다. 감사인은 할 수있는 모든 것을 찾을 수있는 모든 동기를 가지고 있습니다. 때로는 현실적으로 그렇게 할 수없는 경우도 있습니다..

감사는 숙련 된 보안 엔지니어 팀이 의심스러운 것을 찾기 위해 코드를 살펴 보는 제한된 시간 계약입니다. 여기서 키워드는 “기간 한정”및 “무엇이든 검색 중”입니다.

개인적인 경험을 통해 우리가 지금 가지고있는 것과 같은 버그는 코드를 보면 우연히 찾을 수있는 것이 아니라고 말할 수 있습니다. 이와 같은 여러 단계의 복잡한 버그를 찾는 것은 반복적 인 프로세스입니다. 제대로 작동하지 않는 이상한 일에 걸려 넘어지는 것으로 시작됩니다. 예를 들어 웹 사이트에서 특정 작업을 수행 할 때 실제로 로그인했는지 확인하는 것을 잊었습니다. 당신은 그 너겟을 가지고 스스로에게 “어떻게 이것을 이용할 수 있습니까?”라고 자문합니다. 아이디어를 생각해 내고 플랫폼에서 다른 약점을 찾아 어떻게 든 결합 할 수 있는지 확인합니다. 대부분의 경우 실제로 아무것도 찾지 못하고 약점을 악용 할 수 없습니다..

그러나 며칠 동안 집중적으로 작업하고 여러 번의 시행 착오를 겪으면서 때로는 초기 문제를 악용하는 방법을 알아낼 수 있습니다. 이런 일이 발생하면 항상 혼자서 관련성이 없어 보이는 요소들의 조합이지만, 합치면 끔찍한 퍼즐에 들어갑니다..

주요 해킹을 초래 한 대부분의 버그를 찾는 데 필요한 집중과 헌신은 감사의 범위를 넘어서는 것입니다. 그들이 가진 시간으로 모든 단서를 쫓는다면 말 그대로 너무 많은 것을 낭비하여 쉽게 악용 할 수 있고 명백한 것을 찾지 못할 것입니다. 감사자가 복잡한 버그를 결코 찾지 못한다는 것은 아니지만 그들이 모든 것을 찾을 것이라고 기대하는 것은 불합리합니다. 감사자가 실제로 Alpha Homora 버그를 발견하고 보류했다면 경제적 인센티브보다 더 깊은 문제가 있습니다..

DeFi 보안 방법

감사 문제는 프로젝트가 정말 복잡한 버그를 찾기 위해 버그 현상금을 시작해야 함을 의미합니다. 시간 제한이없고, 플랫폼을 샅샅이 뒤지는 눈이 더 많으며, 결과에 따라 급여가 지급됩니다. 감사원이 무언가를 찾기를 바라면서 더 많은 작업 시간을 지불하는 것보다 훨씬 효율적입니다..

물론 Alpha Homora에게는 버그 현상금이 없었지만 대부분은 지금까지 버그 현상금의 힘을 이해합니다. 그러나 Yearn.finance와 같은 프로젝트는 모두 똑같이 해킹당했습니다..

때때로 이런 일이 발생합니다. Crypto는 실제로 돈을 위해 버그를 악용하고 해결하는 것이 정말 쉬운 문제가되는 콤보를 가지고 있지만 인프라는 이전에 해커가 본 것과는 다릅니다. DeFi에서 현상금 사냥을 시작하려면 진지한 암호화 전문가이자 경험이 풍부한 Solidity / Vyper 프로그래머 여야합니다. 두 가지 모두 즉시 발생하지 않습니다. 화이트 햇 해커에게 매우 경쟁력있는 현상금을 제공하는 표준 Web2 플랫폼이 많이 있습니다. DeFi를 조사해야하는 이유?

사람들은 프로토콜 보안 문제를 오해합니다. 알파 호 모라 말했다 그들이 지불 할 수있는 모든 현상금은 위태로운 전리품과 비교하여 희미 해졌을 것입니다. 그러나 목표는 해커가 훔칠 수있는 것을 지불하는 것이어서는 안됩니다. 그것은 패배하는 제안입니다. 목표는 착한 화이트 햇 해커를 유치하여 프로젝트를 분석하고 법적 보상금을받는 것입니다. 버그를 악용하여 얻을 수있는 수백만 달러 미만의 현상금이지만 여전히 삶을 변화시키는 지불금이 될 수 있습니다. 상황에 따라 $ 50,000, $ 200,000 정도가 될까요? 그것은 높은 평가를받는 회사의 한 번의 감사 비용보다 적을 것입니다..

다른 뉴스에서

  • 1inch는 (일부) 사용자에게 무료 토큰을 에어 드롭하여 Uniswap에 대한 또 다른 “뱀파이어 공격”을 시작합니다..
  • 스타트 업이 DeFi 지원 수익 앱을 시작합니다..
  • 그레이 스케일은 YFI 신뢰를 구축하려고 할 수 있습니다. 공정하게 말하자면 SushiSwap 또는 Chainlink와 같은 다른 많은 사람들도 후보자입니다..
  • 유명한 프로젝트는 DeFi 교육 동맹 인 GoodFi를 지원합니다..
  • HiFi, 고정 금리이자 대출 프로토콜 출시.