DeFiの最近のコストのかかる挫折は、セクターの教訓として機能します

DAOの「ハック」は、暗号通貨コミュニティの集合的記憶に深く入り込んでいます。 2016年5月にクラウドファンディングが大成功を収めた後、DAOは1か月強続き、攻撃者はスマートコントラクトから資金を使い果たし、約7,000万ドル相当のイーサリアム（ETH）を奪いました。.

しかし、当時指摘されていたように、DAO事件はハッキングではありませんでした。攻撃者は、基盤となるスマートコントラクトコードの脆弱性を悪用して、プログラマーが予期しない方法で動作させるだけでした。それにもかかわらず、資金を返すハードフォークを実装することが決定された後、事件はイーサリアムコミュニティを分割しました.

2023年初頭に早送りすると、分散型ファイナンスに10億ドル以上の暗号通貨が拘束されていました。スマートコントラクトの管理下では、これは10億ドルです。したがって、歴史に照らして、誰かがこれらのアプリケーションを誰も予想していなかった方法で実行させる方法を最終的に見つけることはおそらく避けられませんでした。最初の攻撃は2023年2月で、bZx分散型取引プラットフォームに対する2つの別々の攻撃がありました。最近では、ハッカーがdForceが運営する中国の融資プラットフォームLendf.meから2500万ドルを稼ぎ出しました。.

ハッカーが関与していない場合でも、DeFiアプリケーションは他の脆弱性を示しています。 3月中旬の暗号通貨の「ブラックサーズデイ」中に、MakerDAOはETHの価格が急落したため、400万ドル以上のローンを清算しました。墜落は、被害を是正するための迅速なガバナンス投票と債務オークションをもたらしました.

解説の多くは、DeFiがこれらの挫折から回復できるかどうかに焦点を当てています。 DAO事件の歴史からすると、DeFiが回復することは避けられないようです。おそらく、より適切な質問は、DeFi DAppオペレーターがそのようなインシデントから何を学び、将来発生しないようにすることができるかということです。?

dForceからの簡単な賞金

Lendf.meハッキングに関連する最新の事件は、いくつかの簡単な勝利を提供します。このプラットフォームは、中国最大の融資DAppです。ただし、ハッキングは、dForceが別の分散型融資アプリケーションであるCompoundの以前のバージョンからコードをコピーした結果として実行されたことが判明しました。化合物の古いコードは、ERC-777トークン専用の「リエントラント」と呼ばれるタイプの攻撃を防ぐことができませんでした.

この問題のため、CompoundはERC-777トークンをサポートしていませんでした。ただし、dForceがコードをコピーしたとき、同じ対策が講じられておらず、ERC-777トークンをLendf.meで使用できるため、この脆弱性を実際には理解していなかったようです。その結果、攻撃者はERC-777 imBTCトークンを使用して脆弱性を悪用し、プラットフォームから2,500万ドルを流出させました。.

その後、ハッカーは資金を返還しましたが、これ自体はほとんど防御ではありません。 Cointelegraphが報告したように、dForceは、そのような攻撃を防ぐための十分な対策を講じなかったという批判に直面しています。では、dForceが単に問題について知らなかったとしたら、どうすればそれを回避できたでしょうか。 EOSベースのstablecoinEOSDTの発行者であるEquilibriumのCEO兼共同創設者であるAlexMelikhovは、ピアレビューのアイデアの大ファンです。彼はCointelegraphに、「サードパーティによるコードレビューでインシデントを防ぐことができた」と語り、次のように付け加えました。

「ここでの重要な側面は、テストフレームワークとコード監査の構築です。 4つの目の原則は、コード開発に完全に適用可能であり、脆弱性のリスクを確実に軽減します。 dForceとPeckShield（USDxおよびYield Enhancingプロトコルを公に監査した）とのパートナーシップにもかかわらず、監査人はその貸付プロトコルLendfMeのコードを調べていないようです。」

集中型融資プラットフォームCredのCEO兼共同創設者であるDanSchattも同意し、コミュニティがここで役割を果たすことができるとさえ示唆しています。彼はCointelegraphに次のように述べています。「バグバウンティは、攻撃やこれらのタイプの脆弱性の悪用につながる可能性のあるタイプの脆弱性を探すようにコミュニティを動機付けるのに役立ちます。」

公開の時点で、dForceは 確認済み 攻撃の影響を受けたユーザーの100％が、資産の再配布作業を通じて返金されたということです。その一部として、dForceはCointelegraphのコメントの要求に応答しました。 dForceの創設者であるMindaoYangは、振り返って次のように述べています。

「[Lendf.me]インシデントの前に、Uniswap / imBTCプールハックに対して同様の攻撃が行われました。 ERC777トークンに関連するUniswapの脆弱性は、2023年後半から知られていましたが、ERC777トークンとリエントラント攻撃対象領域を導入するCompound V1コードの組み合わせは、インシデントの後で初めて私たちの注意を引きました。 Uniswap / imBTCプールのハッキングが発生したときはもっと注意深く、新しいアセットをオンボーディングするときはもっと注意を払うことができたはずです。」

ヤン氏は続けて、プラットフォームは同様の攻撃を回避する計画であり、将来的には外部の専門家を採用する予定であると述べました。

「私たちは、クラス最高のサードパーティのセキュリティコンサルタントを雇って、完全な監査を支援し、将来のセキュリティ慣行の強化を支援します。新しい分散型マネーマーケットプロトコルやその他のプロトコルを再展開する適切な時期を見つけるでしょう。今後は、彼らの助けを借りて、資産をdForceエコシステムに導入する際に、厳密な監査済み統合プロセスを導入します。」

広報担当者は、この点に関して取られた措置の詳細は、今後のブログ投稿で共有されることを確認しました。.

BZx —より複雑な問題

最近のdForce事件の前に、DeFi取引プラットフォームbZxは1週間の間に2回攻撃されました。これらの攻撃は、暗号通貨空間全体の未熟さと比較的低い流動性よりもバグのあるコードに起因するものではありませんでした。デリバティブ取引所は、集中型か分散型かにかかわらず、価格オラクルに依存しています。これらは通常、複数の取引所からの平均価格を使用して、スポット市場から取得されます.

DeFiプラットフォームの場合、価格フィードはUniswapやKyberなどの分散型取引所から提供されます。問題は、これらのプラットフォームでは流動性が低いトークンがあるため、価格を操作するのが比較的簡単なことです。.

関連：BZxフラッシュローン攻撃はDeFiの終了を知らせていますか?

BZxはこの事件をうまく処理し、保険ファンドからのユーザーの90万ドルの損失をカバーしました。デリビット研究者のSuZhuとHasuは以前に 説明 価格オラクルは、BitMEXなどの集中型取引所でも操作に対して脆弱です。価格オラクルデータを分散型取引所に依存しているDeFiでは、この事故はカードにあったと言えます。.

ただし、これには興味深い難問があります。この課題を解決する唯一の方法は、より多くのユーザーをDEXに流動性を注入して、操作に対する脆弱性を軽減することです。ただし、資金が枯渇するリスクがある限り、DeFiはユーザーを引き付けるのに苦労します.

主な脆弱性

最後に、MakerDAOで大量の清算を引き起こした最近のブラックサーズデイイベントに目を向けます。価格の暴落は完全にMakerの制御を超えていましたが、そこから学ぶことができる教訓はありますか？?

3月のクラッシュとその後の清算により、メーカーのオークションパラメータを変更し、暗号市場とは相関のない担保資産タイプであるUSDCを導入する投票が行われました。 DeFiの批判者は、一元化された同等のものによって担保される必要がある暗号で裏打ちされた安定したコインの皮肉を間違いなく嘲笑するでしょう.

ただし、おそらくMakerによるUSDCの導入は、DeFi市場の若い時代は、それが自立できるまで、比較的安定した集中型の市場の例に従う必要があることを意味するというコミュニティの認識に一定の成熟度を示しています。結局のところ、Makerの創設者であるRune Christensenは最近、インタビューでCointelegraphに、DeFiは最終的にCeFiと統合されると信じていると語り、おそらくMakerによるUSDCの使用がこの動きの初期の予測因子であることを示しています。.

今年10億ドルのマイルストーンを達成したので、DeFiがこれらの挫折からいつ回復し、その数をもう一度取り戻すかが問題になります。ただし、これらの挫折がまったく発生したという事実は、DeFiの創設者がセクターがどこまで進んだかではなく、まだどこまで進んでいるかに焦点を当てるべきではないことを示しています。最近の事件から学ぶことで、より迅速な回復のチャンスがあります.