DeFi’nin Son Zamanlardaki Maliyetli Aksaklıkları Sektöre Ders Veriyor

DAO’nun “hacklenmesi”, kripto para birimi topluluğunun kolektif hafızasına derinlemesine işliyor. Mayıs 2016’da son derece başarılı bir kitle fonlamasından sonra DAO, bir saldırganın akıllı sözleşmeden yaklaşık 70 milyon dolar değerinde Ether (ETH) alarak para çekmeye başlamasından önce bir aydan biraz fazla sürdü..

Ancak, o sırada bazılarının işaret ettiği gibi, DAO olayı hiç de bir hack değildi. Saldırgan, programcıların beklemediği bir şekilde davranmasını sağlamak için temelde yatan akıllı sözleşme kodundaki bir güvenlik açığından yararlandı. Bununla birlikte, olay, fonları iade edecek bir hard fork uygulamaya karar verildikten sonra Ethereum topluluğunu ikiye böldü..

2020’nin başlarına hızlı bir şekilde ilerledi ve merkezi olmayan finansmanda bağlı 1 milyar dolar değerinde kripto vardı. Bu, akıllı sözleşmelerin yönetimi altında 1 milyar dolar. Dolayısıyla, tarihin ışığında, belki de birisinin bu uygulamaları kimsenin tahmin etmediği bir şekilde gerçekleştirmenin yollarını sonunda bulması kaçınılmazdı. İlki, bZx merkezi olmayan işlem platformuna iki ayrı saldırı ile Şubat 2020’de geldi. Daha yakın zamanlarda, dForce tarafından işletilen Çin kredi platformu Lendf.me’den 25 milyon dolarlık bir hacker elde etti..

Bilgisayar korsanları dahil olmasa bile, DeFi uygulamaları başka güvenlik açıklarını göstermiştir. Mart ortasındaki kripto “Kara Perşembe” sırasında MakerDAO, ETH’nin fiyatı düşerken 4 milyon doların üzerinde krediyi tasfiye etti. Kaza, hızlı bir yönetim oylamasına ve hasarı gidermek için bir borç müzayedesine neden oldu.

Yorumların çoğu, DeFi’nin bu aksaklıklardan kurtulup kurtulamayacağına odaklandı. The DAO olayının geçmişine bakıldığında, DeFi’nin bir iyileşme sağlaması kaçınılmaz görünüyor. Belki de daha uygun soru şudur: DeFi DApp operatörleri, gelecekte meydana gelmelerini önlemeye yardımcı olmak için bu tür olaylardan ne öğrenebilir??

DForce’den kolay kazançlar

Lendf.me hackini içeren en son olay bazı kolay kazançlar sunuyor. Platform, Çin’in en büyük kredi veren DApp’ıdır. Ancak, hack işleminin, dForce’un başka bir merkezi olmayan ödünç verme uygulaması olan Compound’un önceki bir sürümünden kod kopyalamasının bir sonucu olarak gerçekleştirildiği ortaya çıktı. Bileşiğin eski kodu, özellikle ERC-777 jetonları için “yeniden giriş” olarak bilinen saldırı türlerine karşı koruma sağlayamadı.

Bu sorun nedeniyle Compound, ERC-777 belirteçlerini desteklemedi. Bununla birlikte, dForce kodu kopyaladığında, ERC-777 tokenlerinin Lendf.me’de kullanılmasına izin vererek aynı önlemleri uygulamaya koymadığı için bu güvenlik açığını gerçekten anlamamış gibi görünüyor. Sonuç olarak, saldırgan platformdan 25 milyon dolar çekmek için ERC-777 imBTC jetonunu kullanarak güvenlik açığından yararlandı..

Bilgisayar korsanı o zamandan beri fonları iade etti, ancak bu kendi başına bir savunma değil. Cointelegraph tarafından bildirildiği üzere dForce, böyle bir saldırıyı önlemek için yeterli önlemleri almadığı için eleştirilere maruz kaldı. Öyleyse, dForce’un sorunu bilmediğini varsayarsak, bundan nasıl kaçınabilirlerdi? EOS tabanlı stabilcoin EOSDT’nin yayıncısı olan Equilibrium’un CEO’su ve kurucu ortağı Alex Melikhov, emsal değerlendirme fikrinin büyük bir hayranı. Cointelegraph’a “üçüncü bir tarafın kod incelemesinin olayı önleyebileceğini” söyledi:

“Burada önemli bir husus, bir test çerçevesi ve kod denetimleri oluşturmaktır. Dört göz ilkesi, kod geliştirmeye mükemmel bir şekilde uygulanabilir ve güvenlik açığı risklerini kesinlikle azaltır. DForce’un (USDx ve Getiri Arttırma protokolünü kamuya açık olarak denetleyen) PeckShield ile ortaklığına rağmen, denetçiler borç verme protokolü LendfMe kodunu incelememiş gibi görünüyor. “

Merkezi kredi platformu Cred’in CEO’su ve kurucu ortağı Dan Schatt, topluluğun burada bir rol oynayabileceğini öne sürerek aynı fikirde. Cointelegraph’a, “Hata ödülleri, toplumu saldırılara ve bu tür güvenlik açıklarından yararlanmaya yol açabilecek güvenlik açıklarının türlerini aramaya teşvik etmeye yardımcı olabilir.” Dedi.

Yayınlandığı sırada dForce, onaylanmış Saldırıdan etkilenen kullanıcıların% 100’ünün varlık yeniden dağıtma çabasıyla geri ödendiği. DForce, Cointelegraph’ın yorum talebine yanıt verdi. DForce’un kurucusu Mindao Yang, derinlemesine düşündükten sonra şunları söyledi:

“[Lendf.me] olayından önce Uniswap / imBTC havuz hackine benzer bir saldırı gerçekleşti. ERC777 belirteci ile ilgili Uniswap güvenlik açığı 2018’in sonlarından beri biliniyordu, ancak ERC777 belirteci ile Bileşik V1 kodunun bir yeniden giriş saldırısı yüzeyi getiren kombinasyonu ancak olaydan sonra dikkatimizi çekti. Uniswap / imBTC havuz saldırısı gerçekleştiğinde daha tetikte olabilirdik ve yeni varlıkları işe alırken daha dikkatli olabilirdik. “

Yang, platformun benzer saldırılardan kaçınmayı planladığını ve gelecekte bazı harici uzmanları işe alacağını söyleyerek devam etti:

“Tam bir denetime yardımcı olmak ve gelecekteki güvenlik uygulamalarımızı güçlendirmek için bize yardımcı olmak için sınıfının en iyisi üçüncü taraf güvenlik danışmanlarıyla çalışacağız. Yeni bir merkezi olmayan para piyasası protokolünü ve diğer protokolleri yeniden konuşlandırmak için doğru bir zaman bulacağız. Gelecekte, onların yardımıyla, varlıkları dForce ekosistemine sunarken titiz, denetlenmiş bir entegrasyon süreci başlatacağız. “

Sözcü, bu bağlamda alınan önlemlerin diğer ayrıntılarının gelecekteki bir blog gönderisinde paylaşılacağını doğruladı..

BZx – daha karmaşık bir sorun

Son dForce olayından önce, DeFi ticaret platformu bZx bir hafta içinde iki kez vuruldu. Bu saldırılar, kripto para birimi alanının olgunlaşmamışlığından ve nispeten düşük likiditesinden daha hatalı koddan ibaretti. Türev borsaları – ister merkezi ister merkezi olmayan – fiyat oracle’larına dayanır. Bunlar genellikle spot piyasalardan, birden fazla borsadan ortalama bir fiyat kullanılarak alınır..

DeFi platformları söz konusu olduğunda, fiyat akışı Uniswap ve Kyber gibi merkezi olmayan borsalardan gelir. Sorun şu ki, bu platformlarda düşük likiditeye sahip bazı jetonlar nedeniyle, fiyatı manipüle etmenin nispeten kolay olmasıdır..

İlgili: BZx Flaş Kredi Saldırıları DeFi’nin Sonunu İşaret Ediyor mu??

BZx, bir sigorta fonundan 900.000 dolarlık kullanıcı kaybını karşılayarak olayı iyi idare etti. Deribit araştırmacıları Su Zhu ve Hasu daha önce açıkladı Fiyat oracle’larının BitMEX gibi merkezi borsalarda bile manipülasyona karşı nasıl savunmasız olduğu. Fiyat oracle verileri için merkezi olmayan borsalara güvenilen DeFi’de, bu kazanın kartlarda olduğu söylenebilir..

Bununla birlikte, ilgi çekici bir muamma sunar – zorluğu çözmenin tek yolu, manipülasyona karşı savunmasızlığı azaltmak için DEX’lere likidite enjekte etmek için daha fazla kullanıcı getirmektir. Ancak, fonların boşaltılma riski olduğu sürece, DeFi kullanıcıları çekmekte zorlanacaktır..

Temel güvenlik açığı

Son olarak, MakerDAO’da toplu likidasyonlara neden olan son Kara Perşembe etkinliğine dönelim: Fiyat düşüşü tamamen Maker’ın kontrolü dışında olsa da, bundan çıkarılabilecek dersler var mı??

Mart çöküşü ve müteakip tasfiyeler, Maker’ın açık artırma parametrelerini değiştirmek ve kripto piyasası ile ilgisi olmayan bir teminat varlık türü olan USDC’yi tanıtmak için bir oylamayla sonuçlandı. DeFi aleyhtarları, hiç şüphesiz, merkezi bir eşdeğer tarafından teminatlandırılması gereken kripto destekli bir stabilcoinin ironisiyle alay edecekler..

Bununla birlikte, belki de Maker’ın USDC’yi tanıtması, topluluğun DeFi pazarının genç yaşının, kendi ayakları üzerinde durana kadar nispeten istikrarlı, merkezileştirilmiş meslektaşları örneğini takip etmesi gerektiği anlamına geldiğini kabul etmede belirli bir olgunluğu gösteriyor. Sonuçta, Maker kurucusu Rune Christensen geçtiğimiz günlerde Cointelegraph’a yaptığı bir röportajda DeFi’nin sonunda CeFi ile birleşeceğine inandığını söyledi ve bu da Maker’ın USDC kullanımının bu hareketin erken bir öngörücüsü olduğunu gösteriyor..

Bu yıl 1 milyar dolarlık dönüm noktasına ulaştıktan sonra, sorun DeFi’nin bu aksiliklerden ne zaman kurtulacağı (olup olmayacağı değil) ve bu rakamı bir kez daha geri alacağı sorusu. Bununla birlikte, bu aksaklıkların gerçekleşmiş olması, DeFi kurucularının sektörün ne kadar ilerlediğine değil, daha çok ne kadar ileri gitmesi gerektiğine odaklanmaları gerektiğini göstermektedir. Son olaylardan ders alarak, daha hızlı iyileşme şansı var.