재정의 재정의 : Harvest Finance의 흥미로운 사례, 10 월 21-28 일

우리는 이번 주에 또 하나의 전형적인 “퇴행 수확 농장”이 튀어 나오고 사라졌습니다..

Harvest Finance는 “경제적 악용”이 무너지기 전에 잠긴 총 가치가 10 억 달러에 달했습니다. 가치 고정 측정은 현재 약 3 억 달러에 달하며 회복 가능성은 암울 해 보입니다..

이 익스플로잇은 이러한 유형의 플래시 대출 기반 차익 거래 공격이 실제로 해킹인지 여부에 대한 DeFi 커뮤니티 구성원 간의 논쟁을 다시 한 번 불렀습니다..

수확 기능은 Yearn과 유사한 농업 금고를 산출합니다. 사용자가 제공 한 자산의 가치에 따라 토큰 화 된 볼트 공유를 발행합니다. 이러한 금고 중 일부는 USDT, USDC, DAI 및 TUSD 간의 스왑을위한 유동성을 강화하는 Curve의 Y 풀에 의존합니다..

이 공격은 플래시 대출을 사용하여 곡선을 통해 1,700 만 달러를 USDC로 전환하여 일시적으로 USDC 가격을 1.01 달러로 올렸습니다. 그런 다음 공격자는 약 5 천만 달러의 USDC (시스템이 5,050 만 달러의 가치가있는 것으로 간주 됨)의 또 다른 플래시 대출을 사용하여 Harvest USDC 금고에 들어갔습니다..

진입 후 공격자는 이전의 USDC 거래를 USDT로 되돌려 가격 균형을 맞춘 다음 즉시 Harvest의 풀 지분을 상환하여 USDC로 5 천 5 백만 달러를 얻습니다.주기 당 $ 500,000의 순이익이 $ 24를 얻기에 충분한 횟수만큼 반복됩니다. 전리품 백만.

그래서 이것은 해킹인가 아닌가?

기술적으로는 여기에 관련된 취약점이 없습니다. 이러한 스테이 블코 인의 가격이 의도 한 가치에서 너무 많이 벗어나는지 감지하는 이러한 유형의 “차익 거래”에 대한 우회 된 검사가있었습니다. 그러나 이미 상당히 낮게 설정되어 있으며 실제 차단기보다 약간의 불편 함이 있습니다. 공격자는 더 많은 악용주기를 사용하기 만하면됩니다..

이 시퀀스는 어지럽고 여전히 많은 단계를 생략합니다..

그런 의미에서 이것이 차익 거래일 뿐이라는 이론의 지지자들은 옳습니다. 코드에 의도하지 않은 행동이 없으며, 그것은 더 빠른 속도로 반복되는 무기화 된 시장 조작과 비슷합니다..

그럼에도 불구하고 Harvest Finance 팀은 이에 대한 책임을 디자인 결함으로 간주했습니다..

솔직히,이 의미 론적 논쟁의 요점이 무엇인지조차 모르겠습니다. 사람들은 예방 가능한 방식으로 돈을 잃었습니다. 감사를 통해이를 파악하고 중요한 문제로 표시해야합니다..

하지만 재진입과 같은 버그와는 다른 카테고리라는 주장이 분명히 있습니다. 종종 “머니 레고”라고도하는 이러한 금융 빌딩 블록은 설계시 세심한주의를 기울여 설계해야한다는 점을 강조합니다..

마치 누군가가 레고 부품으로 총을 만들고 사람들이 부품이 설계된대로 기술적으로 조립 되었기 때문에 총이 “만들 었는지”아니면 “발견되었는지”논쟁하는 것과 같습니다. 어느 쪽이든 레고 부품은 치명적인 무기가되지 않도록 재 작업해야합니다..

암호화 표준에 대한 약간의 신뢰

해킹 전에 Harvest는 극도의 중앙 집중화로 유명했습니다. 영광스러운 시절에 10 억 달러를 모두 단일 주소로 도난 당할 수 있었으며 대부분은 프로젝트 배후의 익명 팀에 의해 통제되었을 가능성이 높습니다. 몇 번의 감사에서 그 사실을 강조하여 주소가 채굴자를 지명하고 마음대로 토큰을 만들 수 있음을 분명히했습니다..

프로젝트의 팬들은 시간 잠금으로 인해 거버넌스 키 보유자가 의도를 표시 한 후 12 시간 만에 돈을 훔칠 수 있거나 제한된 수의 토큰 만 인쇄 할 수 있다고 강력하게 옹호했습니다..

나는 당신이 그 논쟁의 판사가되도록하겠습니다. 더 넓은 요점은 수익률을 검색 할 때 이러한 “디젠”이 탈 중앙화의 기본 원칙을 무시하고 있으며 DeFi가 무엇인지 알다시피.

제가 가진 이상 주의적 원칙 때문에 나쁘다고 말하는 것이 아닙니다. 양탄자가 당기기 때문입니다. 이것이 바로 UniCats와 같은 재난을 초래 한 정확한 상황입니다..

bZX의 미친 이야기

해킹에 대해 말하자면, 나는 그들의 끔찍한 해에 대해 bZX 팀과 인터뷰를하게되어 기뻤습니다. 그들은 2023 년 동안 총 세 번의 해킹을 겪었지만, 이들 중 일부는 분명히 앞서 언급 한 “경제적 악용”처럼 느껴집니다..

헌신적이지 않으면 팀은 아무것도 아닙니다. 기사에 포함되지 않은 한 가지 이야기는 Kyle Kistner가 한밤중에 울타리를 뛰어 넘어 그의 공동 창립자 Tom Bean이 살았던 문이있는 커뮤니티에 침입 한 방법이었습니다. 가능한 한 빨리 문자 그대로 수정해야하는 버그가있는 것 같습니다..

이야기를 보면 DeFi 개발자가되는 것은 마음이 약한 사람이나 잠을 좋아하는 사람을위한 것이 아닙니다..

물론 bZX가 너무 자주 악용되었다는 사실을 알아 차릴 수는 없습니다. 전직 버그 현상금 사냥꾼으로서 저는 그들의 보안 관행이 올해 초에 얼마나 낮은 수준인지 확실히 알 수있었습니다. 예를 들어 버그 현상금 프로그램은 꽤 나빴습니다.하지만 그들이 많은 실수를 어떻게 수정 했는지도 보았습니다. 다른 근본적인 문제가있을 수 있지만 더 이상 사고가 발생하지 않으면 결국 되돌릴 수 있다고 생각합니다..

스테이 킹에 대한 DeFi 위협

ConsenSys 보고서는 기본적으로 DeFi 환경에서 스테이 킹의 기회 비용 인 지금까지 무시 된 문제를 강조합니다..

아이디어는 매우 간단합니다. 돈은 가장 높은 수익률을 추구하고 DeFi는 요즘 많은 수익을 제공하는 것 같습니다. 20 % APY와 같이 비교적 길 들여진 것조차도 이더 리움 2.0을 스테이 킹하고 검증함으로써 잠재적 인 8 %를 이길 수 있습니다..

Ethereum의 Phase 0이 1 단계 또는 2 단계가 올 때까지 커밋 한 토큰을 인출하거나 이전 할 수 없다는 점을 고려할 때이 문제는 더욱 복잡해집니다. 기본적으로 팀이 합리적인 시간 내에 완전한 구현을 제공 할 것이라고 내기를하고 있으며 위험에 대한 보상을 실제로받지 못하고 있습니다..

이 시나리오에서 인기있는 DeFi는 네트워크의 보안 수준이 떨어집니다. 이것이 큰 문제입니다..

고맙게도 이것은 스테이 킹 파생 상품을 통해 대부분 해결할 수 있습니다. 이는 일종의 이더 IOU 인 스테이 킹에 사용되는 담보로 뒷받침되는 액체 토큰입니다. 관련 위험이 있습니다. 즉, 기본 담보가 삭감되고 IOU의 가치가 갑자기 낮아질 수 있습니다. 네트워크에 좋은 점은이 경우 DeFi 만 영향을 받아 중요도의 자연스러운 계층을 다시 설정한다는 것입니다..

그러나 그것은 미래에 얼마나 많은 의도하지 않은 상호 작용이있을 수 있는지를 강조합니다. DeFi는 이미 매우 복잡해질 수 있으며 사람들이이를 완전히 이해하지 못하면 그 결과가 끔찍할 수 있습니다..