Facebook 
Pinterest DeFi의 최근에 비용이 많이 드는 후퇴는 해당 부문의 교훈 역할을합니다.
DAO의 “해킹”은 암호 화폐 커뮤니티의 집단 기억에 깊이 침투합니다. 2016 년 5 월 매우 성공적인 크라우드 펀드 이후, DAO는 공격자가 스마트 계약에서 자금을 빼내기 시작하기 한 달 조금 넘게 지속되어 약 7 천만 달러 상당의 Ether (ETH)를 가져 왔습니다..
그러나 당시 일부가 지적했듯이 DAO 사건은 전혀 해킹이 아닙니다. 공격자는 단순히 기본 스마트 계약 코드의 취약점을 악용하여 프로그래머가 예상하지 못한 방식으로 동작하도록 만들었습니다. 그럼에도 불구하고이 사건은 자금을 반환 할 하드 포크를 구현하기로 결정한 후 이더 리움 커뮤니티를 분열 시켰습니다..
2023 년 초로 빨리 감기, 탈 중앙화 금융에 묶여있는 10 억 달러 상당의 암호 화폐가있었습니다. 그것은 현명한 계약 관리하에있는 10 억 달러입니다. 따라서 역사에 비추어 볼 때 누군가가 결국 아무도 예상하지 못한 방식으로 이러한 응용 프로그램을 수행하도록 만드는 방법을 찾는 것이 불가피했을 것입니다. 첫 번째 공격은 2023 년 2 월에 bZx 분산 형 거래 플랫폼에 대한 두 번의 개별 공격이있었습니다. 최근에는 dForce가 운영하는 중국 대출 플랫폼 Lendf.me에서 2,500 만 달러를 벌어 들인 해커가.
해커가 관여하지 않더라도 DeFi 애플리케이션은 다른 취약점을 보여주었습니다. 3 월 중순 크립토의 “블랙 목요일”기간 동안 MakerDAO는 ETH 가격이 급락하면서 400 만 달러 이상의 대출을 청산했습니다. 충돌로 인해 신속한 거버넌스 투표와 부채 경매가 발생하여 피해를 시정했습니다..
대부분의 논평은 DeFi가 이러한 좌절에서 회복 할 수 있는지 여부에 초점을 맞추 었습니다. DAO 사건의 역사를 보면 DeFi가 회복 할 수밖에없는 것 같습니다. 아마도 더 적절한 질문은 DeFi DApp 운영자가 미래에 발생하지 않도록 이러한 사고에서 무엇을 배울 수 있는지입니다.?
dForce의 쉬운 상금
Lendf.me 해킹과 관련된 가장 최근의 사건은 몇 가지 쉬운 승리를 제공합니다. 이 플랫폼은 중국 최대의 대출 DApp입니다. 그러나 해킹은 dForce가 또 다른 분산 형 대출 응용 프로그램 인 Compound의 이전 버전에서 코드를 복사 한 결과로 수행 된 것으로 밝혀졌습니다. Compound의 이전 코드는 특히 ERC-777 토큰에 대한 “재전송”으로 알려진 공격 유형으로부터 보호 할 수 없었습니다..
이 문제로 인해 Compound는 ERC-777 토큰을 지원하지 않았습니다. 그러나 dForce가 코드를 복사했을 때 동일한 조치를 취하지 않았기 때문에이 취약점을 실제로 이해하지 못한 것으로 보이며 Lendf.me에서 ERC-777 토큰을 사용할 수 있습니다. 결과적으로 공격자는 ERC-777 imBTC 토큰을 사용하여이 취약점을 악용하여 플랫폼에서 2,500 만 달러를 유출했습니다..
해커는 그 이후로 자금을 반환했지만 이것은 그 자체로 방어가 아닙니다. 코인 텔레그래프가 보도 한 바와 같이, dForce는 그러한 공격을 막기위한 충분한 조치를 취하지 않은 것에 대해 비판을 받았습니다. 그렇다면 dForce가 단순히 문제에 대해 몰랐다고 가정한다면 어떻게 피할 수 있었을까요? EOS 기반 스테이 블코 인 EOSDT의 발행자 인 Equilibrium의 CEO이자 공동 창립자 인 Alex Melikhov는 피어 리뷰 아이디어의 열렬한 팬입니다. 그는 Cointelegraph에 “제 3 자의 코드 검토로 사고를 예방할 수 있었을 것”이라고 말했습니다.
“여기서 중요한 측면은 테스트 프레임 워크와 코드 감사를 구축하는 것입니다. Four-eyes 원칙은 코드 개발에 완벽하게 적용되며 취약성 위험을 확실히 완화합니다. dForce와 PeckShield (USDx 및 Yield Enhancing 프로토콜을 공개적으로 감사)와의 파트너십에도 불구하고 감사관은 대출 프로토콜 LendfMe의 코드를 검토하지 않은 것 같습니다. “
중앙 대출 플랫폼 Cred의 CEO이자 공동 창립자 인 Dan Schatt는 커뮤니티가 여기서 역할을 할 수 있다고 제안하기도합니다. 그는 Cointelegraph에 “버그 현상금은 커뮤니티가 공격으로 이어질 수있는 취약점 유형을 찾고 이러한 유형의 취약점을 악용하도록 유도하는 데 도움이 될 수 있습니다.”라고 말했습니다.
출판 당시 dForce는 확인 공격의 영향을받은 사용자의 100 %가 자산 재배포 노력을 통해 환불을 받았다고합니다. dForce는 코인 텔레그래프의 논평 요청에 응답했습니다. dForce의 설립자 인 Mindao Yang은 다음과 같이 말했습니다.
“[Lendf.me] 사건 이전에 Uniswap / imBTC 풀 해킹에서 유사한 공격이 발생했습니다. ERC777 토큰과 관련된 Uniswap 취약성은 2023 년 말부터 알려졌지만 ERC777 토큰과 재진입 공격 표면을 도입하는 Compound V1 코드의 조합은 사고 이후에만 우리의 관심을 끌었습니다. Uniswap / imBTC 풀 해킹이 발생했을 때 더 경계 할 수 있었고 새 자산을 온 보딩 할 때 더 조심할 수있었습니다. “
Yang은 계속해서 플랫폼이 유사한 공격을 피할 계획이며 향후 일부 외부 전문가를 온 보딩 할 것이라고 말했습니다.
“우리는 동급 최강의 제 3 자 보안 컨설턴트를 고용하여 전체 감사를 지원하고 향후 보안 관행을 강화하는 데 도움을 줄 것입니다. 우리는 새로운 분산 형 머니 마켓 프로토콜 및 기타 프로토콜을 재배치 할 적절한시기를 찾을 것입니다. 앞으로 그들의 도움을 받아 dForce 생태계에 자산을 도입 할 때 엄격하고 감사 된 통합 프로세스를 도입 할 것입니다.”
대변인은 이와 관련하여 취해진 조치에 대한 자세한 내용이 향후 블로그 게시물에서 공유 될 것이라고 확인했습니다..
BZx — 더 복잡한 문제
최근 dForce 사건이 발생하기 전에 DeFi 거래 플랫폼 bZx가 일주일에 두 번 타격을 받았습니다. 이러한 공격은 전체적인 암호 화폐 공간의 미성숙과 상대적으로 낮은 유동성보다 버그가 많은 코드로 인한 것입니다. 파생 상품 거래소 (중앙 집중식이든 분산 식이든)는 가격 오라클에 의존합니다. 일반적으로 여러 거래소의 평균 가격을 사용하여 현물 시장에서 가져옵니다..
DeFi 플랫폼의 경우 가격 피드는 Uniswap 및 Kyber와 같은 분산 형 거래소에서 제공됩니다. 문제는 이러한 플랫폼에서 유동성이 낮은 일부 토큰으로 인해 가격 조작이 상대적으로 쉽다는 것입니다..
관련 : BZx 플래시 론 공격이 DeFi의 종말을 알리는 신호입니까??
BZx는 사고를 잘 처리하여 보험 기금으로 인한 사용자 손실 $ 900,000를 보상했습니다. Deribit 연구원 Su Zhu와 Hasu는 이전에 설명 가격 오라클이 BitMEX와 같은 중앙 집중식 거래소에서도 조작에 취약한 방법. 가격 오라클 데이터를 위해 탈 중앙화 거래소에 의존하는 DeFi에서는이 사고가 카드에 있다고 말할 수 있습니다..
그러나 이것은 흥미로운 수수께끼를 제시합니다.이 문제를 해결하는 유일한 방법은 조작에 대한 취약성을 완화하기 위해 더 많은 사용자를 DEX에 유동성을 주입하도록 유도하는 것입니다. 그러나 자금이 고갈 될 수있는 위험이있는 한 DeFi는 사용자를 유치하기 위해 고군분투 할 것입니다..
주요 취약점
마지막으로, MakerDAO에서 대량 청산을 일으킨 최근의 블랙 목요일 이벤트로 전환합니다. 가격 폭락이 Maker의 통제를 완전히 벗어난만큼 빼놓을 수있는 교훈이 있습니까??
3 월의 붕괴와 후속 청산으로 인해 Maker의 경매 매개 변수를 변경하고 암호화 시장과 관련없는 담보 자산 유형 인 USDC를 도입하기위한 투표가 이루어졌습니다. DeFi 비방 자들은 중앙 집중식 등가물에 의해 담보 화되어야하는 암호 화폐 기반 스테이 블코 인의 아이러니를 비웃을 것입니다..
그러나 Maker의 USDC 도입은 DeFi 시장의 어린 나이가 자체적으로 서있을 때까지 상대적으로 안정적이고 중앙 집중화 된 상대의 예를 따라야한다는 것을 의미하는 커뮤니티의 인식에서 어느 정도 성숙함을 보여줍니다. 결국 Maker 설립자 Rune Christensen은 최근 인터뷰에서 Cointelegraph와의 인터뷰에서 DeFi가 결국 CeFi와 합병 될 것이라고 믿으며 Maker의 USDC 사용이 이러한 움직임의 초기 예측 요인임을 설명했습니다..
올해 10 억 달러 규모의 이정표를 달성 한 것은 DeFi가 이러한 좌절에서 회복하고 그 수치를 다시 되 찾을 때가 언제인지에 대한 문제입니다. 그러나 이러한 좌절이 전혀 발생했다는 사실은 DeFi 창립자들이 해당 부문이 얼마나 멀리 왔는지에 초점을 맞추는 것이 아니라 여전히 얼마나 멀리 가야하는지에 초점을 맞추어야 함을 보여줍니다. 최근 사건에서 배우면 더 빠른 복구 기회가 있습니다..