財務の再定義:市場全体を破壊するための1つのハック、2月10〜17日

Finance Redefinedは、CointelegraphのDeFi中心のニュースレターで、毎週水曜日に購読者に配信されます。.

AlphaHomoraとCreamFinanceのハックは、今週DeFiスペースで巨大なマークを付けました.

これは、盗まれた資金が3,700万ドルで、DeFi史上最大のシングルハックです。また、これは最も複雑なものの1つであり、AlphaHomoraのいくつかの神に正直な脆弱性を利用しているようです。非常に特殊な条件で入力チェックがいくつか欠落しているため、ハッカーは、CreamFinanceのIronBankから無制限の金額の資金を借りるというAlphaHomoraの特権を悪用することができました。フラッシュローンはもちろん関与していましたが、ハーベストファイナンスのような以前のハッキングとは異なり、これは純粋に経済的な悪用ではなかったようです。.

ハッキングのニュースは、何らかの理由でAaveを含む、ハッキングに関係するすべてのプロトコルの価格に非常に悪い影響を及ぼしました。 FTXのDeFiPerpをより一般的に見ると、ハッキングが発生した2月13日に明確なピークがあります。.

FTXのDeFiインデックス、提供 TradingView.

おそらくその一部は通常の市場行動ですが、全体としては、ハッキングが単独でDeFiシーズンに終止符を打ったように見えます。.

暑さを感じる監査人

今日、あらゆる種類の大量採用に到達するプロトコルとして、Alpha HomoraはQuantstampとPeckShieldによって監査されました。どちらも、熟練した立派な企業です。.

それでも、ハッキングの詳細により、一部の人は、それが内部の仕事であり、おそらくこれらの監査会社の誰かによるものであると疑うようになりました。 Yearn.financeコア開発者Banteg 言及された ハッキングの詳細が非常にあいまいで、契約書を見ただけで誰もがそれを理解することはほとんどありませんでした。特に、ハッカーによって攻撃されたプールは予告なしに使用されていなかったため、そもそもハッキングが発生する可能性がありました。.

公の告発はありませんでしたが、この事件は、監査人がバグを見つけられなかった理由、適切にインセンティブが与えられているかどうか、そしてこの状況をどのように軽減できるかについてのさらに別の議論を引き起こしました.

複雑なハックの構造

元バグバウンティハンターとして、私は監査エコシステムが可能な限り「インセンティブに沿った」ものであると本当に信じています。監査会社は、このような大きなバグがネットをすり抜けるたびに評判を危険にさらします。これらはすぐに十分であり、誰もそのビジネスを信頼しなくなります。監査人は、できる限りすべてを見つける動機を持っています。現実的にそうすることができない場合もあります。.

監査は期間限定の契約であり、経験豊富なセキュリティエンジニアのチームが、疑わしいと思われるものを探してコードを調べます。ここでのキーワードは「期間限定」と「何かを求めて」です。

個人的な経験から、私たちが今持っているようなバグは、コードを見ても何気なく見つけることができるものではないと言えます。このようなマルチステップで複雑なバグを見つけることは、反復的なプロセスです。それは、あなたが本来のように機能していないその1つの奇妙なことにつまずいたことから始まります。たとえば、特定のタスクを実行するときに実際にログインしているかどうかを確認するのを忘れているWebサイト。あなたはそのナゲットを手に取り、「どうすればこれを利用できますか?」と自問します。あなたはアイデアを思いつき、プラットフォームで他の弱点を探し、それらを何らかの方法で組み合わせることができるかどうかを確認します。ほとんどの場合、実際には何も見つかりません。その弱点は悪用できないままです。.

しかし、何日にもわたる集中的な作業、複数の試行錯誤により、最初の問題を悪用する方法を理解することがあります。それが起こったとき、それは常に単独では無関係に見える要因の組み合わせですが、一緒にすると厄介なパズルに収まります.

主要なハッキングの原因となったバグのほとんどを見つけるために必要な焦点と献身は、監査の範囲を超えたものです。彼らが持っていた時間ですべてのリードを追いかけるとしたら、彼らは文字通りそれの多くを浪費するので、簡単に悪用可能で明白なものを見つけることができません。監査人が複雑なバグを見つけることは決してないということは言うまでもありませんが、監査人がすべてを見つけることを期待するのは無理です。そして、監査人が実際にAlpha Homoraのバグを見つけてそれを差し控えた場合、経済的インセンティブよりも深刻な問題が発生します。.

DeFiを保護する方法

監査の問題は、プロジェクトが本当に複雑なバグを見つけるためにバグ報奨金を開始する必要があることを意味します。時間制限はなく、プラットフォームを精査する目が多く、給与は結果に基づいています。監査人が何かを見つけられることを期待して、より多くの労働時間を支払うよりもはるかに効率的です。.

もちろんAlphaHomoraにはバグバウンティがありませんでしたが、今ではほとんどの人がバグバウンティの力を理解しています。しかし、Yearn.financeのようなプロジェクトはそうです、そしてそれらはすべて同じようにハッキングされました.

時々これらのことが起こるだけです。 Cryptoは、実際にお金のためにバグを悪用してそれを回避するのが本当に簡単であるという問題のあるコンボを運びますが、インフラストラクチャはハッカーがこれまでに見たものとは異なります。 DeFiで賞金を探し始めるには、真面目な暗号の専門家であり、経験豊富なSolidity / Vyperプログラマーである必要があります。どちらも、すぐにやってくるだけではありません。ホワイトハットハッカーにとって、非常に競争力のある報奨金を提供する標準のWeb2プラットフォームがたくさんありますが、なぜ彼らはDeFiの調査をわざわざする必要があります?

人々は、プロトコルを保護するという課題を誤解しています。アルファホモラ 前記 彼らが支払うことができたであろうどんな報奨金も、危機に瀕している戦利品と比較して青ざめていただろうと。しかし、目標はハッカーに盗むことができるものを支払うことであってはなりません。それは負ける提案です。目標は、心のこもったホワイトハットハッカーを引き付けてプロジェクトを分析し、法的な報奨金を受け取ることです。バグを悪用することで得られる数百万未満の報奨金ですが、それでも人生を変えるような支払いになる可能性があります。状況に応じて、おそらく$ 50,000、$ 200,000のようなものですか?これは、高く評価されている企業による1回の監査のコストよりも少ない可能性があります。.

ほかのニュースでは

  • 1inchは、無料のトークンをそのユーザー(の一部)に空中投下することにより、Uniswapに対してさらに別の「吸血鬼攻撃」を開始します.
  • スタートアップがDeFi対応のyieldアプリを起動.
  • グレースケールは、YFIの信頼を確立しようとしている可能性があります。公平を期すために、SushiSwapやChainlinkのような他の多くの人も候補者です.
  • 著名なプロジェクトが、DeFi教育アライアンスであるGoodFiを支援.
  • HiFiが固定金利の貸付プロトコルを開始.