Facebook 
Pinterest Finanza ridefinita: il curioso caso di Harvest Finance, 21-28 ottobre
Siamo stati onorati di una più tipica “fattoria a resa degenerativa” che è spuntata dentro e fuori pertinenza questa settimana.
Harvest Finance ha raccolto fino a $ 1 miliardo di valore totale bloccato prima che un “exploit economico” lo facesse crollare. La sua misura di valore bloccato ora si aggira intorno ai $ 300 milioni e le prospettive di una ripresa sembrano desolate.
L’exploit ha riacceso ancora una volta i dibattiti tra i membri della comunità DeFi sul fatto che questi tipi di attacchi di arbitraggio basati su prestiti flash siano effettivamente hack.
Le caratteristiche del raccolto producono caveau agricoli simili a quelli di Yearn. Emettono condivisioni di vault tokenizzate in base al valore delle risorse fornite dagli utenti. Alcuni di questi vault si basano sul pool Y di Curve, che alimenta la liquidità per gli swap tra USDT, USDC, DAI e TUSD.
L’attacco ha utilizzato prestiti flash per convertire $ 17 milioni di USDT in USDC attraverso Curve, aumentando temporaneamente il prezzo dell’USDC a $ 1,01. L’attaccante ha quindi utilizzato un’altra scorta di circa $ 50 milioni di USDC in prestito flash – che il sistema considerava valere $ 50,5 milioni – per entrare nel caveau di Harvest USDC.
Dopo essere entrato, l’attaccante invertirebbe il precedente scambio USDC in USDT per riportare il prezzo in equilibrio, quindi riscattare immediatamente le proprie azioni dei pool di Harvest per ricevere $ 50,5 milioni in USDC – un profitto netto di $ 500.000 per ciclo ripetuto abbastanza volte da ottenere $ 24 milioni di bottino.
Quindi questo è un trucco o no?
Tecnicamente, non c’erano vulnerabilità coinvolte qui. È stato eseguito un controllo bypassato per questi tipi di “operazioni di arbitraggio” che rileva se il prezzo di queste stablecoin devia troppo dal valore previsto. Ma era già impostato su un valore piuttosto basso ed è davvero più un lieve inconveniente di un vero e proprio blocco: un aggressore deve solo utilizzare più cicli di sfruttamento.
Questa sequenza è vertiginosa e omette ancora molti passaggi.
Quindi, in questo senso, i sostenitori della teoria secondo cui questo è solo un commercio di arbitraggio hanno ragione: non vi è alcun comportamento involontario nel codice, è più simile a una manipolazione del mercato armata ripetuta a velocità.
Il team di Harvest Finance si è tuttavia assunto la responsabilità di questo come un difetto di progettazione, il che è lodevole.
Onestamente, non sono nemmeno sicuro di quale sia il punto di questi dibattiti semantici. Le persone hanno perso denaro in modo prevenibile. Un audit avrebbe dovuto rilevare questo problema e contrassegnarlo come un problema critico.
Ma c’è sicuramente un motivo per affermare che si tratta di una categoria diversa da bug come il rientro. Sottolinea che questi elementi costitutivi finanziari – spesso indicati come “Money Lego” – devono essere progettati con la massima cura al tavolo da disegno.
È come se qualcuno creasse una pistola con parti Lego e le persone discutessero se la pistola fosse “creata” o “scoperta” perché le parti erano tecnicamente assemblate come progettate. In ogni caso, le parti Lego dovrebbero essere rielaborate in modo che non possano diventare un’arma letale.
Un po ‘troppa fiducia per gli standard crittografici
Prima dell’hacking, Harvest si distingueva per il suo estremo grado di centralizzazione. Nei suoi giorni di gloria, tutto il miliardo di dollari poteva essere stato rubato da un unico indirizzo, molto probabilmente controllato dal team anonimo dietro il progetto. Un paio di audit hanno evidenziato tale fatto, chiarendo anche che l’indirizzo era in grado di nominare minters e creare token a piacimento.
I fan del progetto lo hanno difeso vigorosamente, dicendo che a causa del time lock, i possessori delle chiavi di governance potevano rubare i soldi solo 12 ore dopo aver segnalato le loro intenzioni, o che potevano stampare solo un numero limitato di token.
Ti lascerò essere il giudice di questi argomenti. Il punto più ampio è che nella ricerca del rendimento, questi “degeni” ignorano i principi di base del decentramento e, sai, di cosa tratta la DeFi.
E non sto dicendo che è male a causa di alcuni principi idealistici che ho. È a causa dei tappetini. Queste sono le circostanze esatte che hanno portato a disastri come UniCats.
La folle storia di bZX
A proposito di hack, ho avuto il piacere di intervistare il team di bZX sul loro anno terribile. Hanno subito un totale di tre hack nel 2023, anche se alcuni di questi sembrano decisamente più come gli “exploit economici” menzionati in precedenza.
La squadra non è altro che dedicata. Una storia che non è arrivata all’articolo è stata come Kyle Kistner ha saltato una recinzione nel cuore della notte e ha fatto irruzione nella gated community dove viveva il suo co-fondatore Tom Bean. Apparentemente c’era un bug che doveva essere risolto letteralmente il prima possibile.
A giudicare dalla storia, essere uno sviluppatore DeFi non è per i deboli di cuore, né per le persone a cui piace dormire.
Naturalmente, non si può fare a meno di notare che bZX è stato sfruttato un po ‘troppo spesso. In qualità di ex cacciatore di bug bounty, ho potuto sicuramente vedere come le loro pratiche di sicurezza erano scadenti all’inizio dell’anno – il programma bug bounty era piuttosto brutto, per esempio – ma ho anche visto come hanno corretto molti dei loro errori. Forse ci sono altri problemi di fondo, ma penso che alla fine potrebbero riprendersi se non si verificano più incidenti.
La minaccia DeFi allo staking
Un rapporto di ConsenSys evidenzia un problema che è stato ignorato finora, che è essenzialmente il costo opportunità di puntare in un ambiente DeFi.
L’idea è piuttosto semplice: il denaro insegue i rendimenti più alti e la DeFi sembra offrirne molti in questi giorni. Anche qualcosa di relativamente docile come il 20% di APY potrebbe battere il potenziale 8% circa dallo staking e dalla convalida di Ethereum 2.0.
Questo problema si aggrava ancora di più se si considera che la Fase 0 di Ethereum non ti permetterà di ritirare o trasferire i token che hai impegnato fino a quando non arriverà la Fase 1 o 2. In pratica stai scommettendo che il team spedirà un’implementazione completa in un lasso di tempo ragionevole e non verrai davvero ricompensato così tanto per il rischio.
In questo scenario, più la DeFi è popolare, meno sicura è la rete e questo è un grosso problema.
Per fortuna, è in gran parte risolvibile tramite derivati dello staking: token liquidi supportati da garanzie collaterali utilizzate per lo staking, una sorta di Ether IOU. Ci sono rischi coinvolti, vale a dire che la garanzia sottostante potrebbe essere tagliata e gli IOU diventerebbero improvvisamente meno importanti. La cosa buona per la rete è che in questo caso è interessata solo la DeFi, ristabilendo la naturale gerarchia di importanza.
Ma questo evidenzia quante interazioni indesiderate potrebbero esserci in futuro. La DeFi può già diventare estremamente complessa e se le persone non la capiscono appieno, le conseguenze potrebbero essere terribili.