Finance Redefined ir Cointelegraph DeFi centrēts biļetens, kas abonentiem tiek piegādāts katru trešdienu.
Alpha Homora un Cream Finance uzlaušana šonedēļ DeFi telpā ir izdarījis milzīgu zīmi.
Tas ir lielākais atsevišķs uzlauzums DeFi vēsturē ar nozagtiem līdzekļiem 37 miljonu ASV dolāru apmērā. Tas ir arī viens no vissarežģītākajiem, acīmredzot izmantojot vairākas godīgas pret Dievu ievainojamības Alpha Homora. Dažas trūkstošās ievades pārbaudes ļoti specializētos apstākļos ļāva hakerim ļaunprātīgi izmantot Alpha Homora privilēģiju aizņemties neierobežotu līdzekļu daudzumu no Cream Finance dzelzs bankas. Protams, bija iesaistīti ātrie kredīti, taču atšķirībā no dažiem iepriekšējiem uzlaušanas gadījumiem, piemēram, Harvest Finance, tas, šķiet, nebija tīri ekonomisks izmantojums.
Ziņas par uzlaušanu ļoti negatīvi ietekmēja visu uzlaušanā iesaistīto protokolu cenas, arī Aave nez kāpēc. Aplūkojot DeFi Perp FTX, ir skaidrs maksimums tieši 13. februārī, kad notika uzlaušana.
FTX DeFi indekss, pateicoties TradingView.
Varbūt daži no tiem ir tikai normāla tirgus darbība, bet kopumā tas izskatās tā, it kā uzlaušana vienatnē izbeigtu DeFi sezonu.
Revidenti jūt siltumu
Kā jebkuru protokolu, kas šodien sasniedz jebkādu masveida pieņemšanu, Alpha Homora pārbaudīja Quantstamp un PeckShield, abi kvalificēti un cienījami uzņēmumi.
Tomēr informācija par uzlaušanu dažiem radīja aizdomas, ka tas ir iekšējs darbs, iespējams, kāds no šiem auditoru uzņēmumiem. Yearn.finance galvenais izstrādātājs Banteg minēts kā uzlaušanas detaļas bija tik neskaidras, ka bija ārkārtīgi maz ticams, ka kāds to izdomāja, tikai apskatot līgumus. Hacker uzbruktais baseins bija nepieteikts un neizmantots, un tas ļāva vispirms uzlauzties.
Lai gan sabiedrībā netika izvirzītas apsūdzības, incidents izraisīja vēl vienu diskusiju par to, kāpēc auditoriem neizdevās notvert kļūdu, vai viņi tiek pienācīgi stimulēti un kā šo situāciju var mazināt.
Sarežģīta uzlaušanas anatomija
Kā bijušais kļūdu atalgojuma mednieks es patiešām uzskatu, ka revīzijas ekosistēma ir aptuveni tikpat “stimulējoša”, cik tā var būt. Revīzijas uzņēmumi riskē ar savu reputāciju katru reizi, kad liela šāda veida kļūda izslīd cauri viņu tīkliem. Pietiek no tiem ātri pēc kārtas, un neviens vairs neuzticas šim biznesam. Revidentiem ir visa motivācija atrast visu iespējamo, vienkārši dažreiz viņi reāli to nevar izdarīt.
Revīzija ir ierobežota laika līgums, kura laikā pieredzējušu drošības inženieru komanda izķemmē kodu, meklējot visu, kas izskatās aizdomīgs. Atslēgvārdi šeit ir “ierobežots laiks” un “jebko meklējot”.
No personīgās pieredzes varu teikt, ka tāda kļūda, kāda mums bija šobrīd, nav tā, ko jūs varētu nejauši atrast, apskatot kodu. Šāda daudzpakāpju, sarežģītas kļūdas atrašana ir iteratīvs process. Tas sākas ar to, ka jūs paklupat pie vienas dīvainas lietas, kas nedarbojas tā, kā vajadzētu. Piemēram, vietne aizmirst pārbaudīt, vai tiešām esat pieteicies, veicot noteiktu uzdevumu. Jūs paņemat šo tīrradni un pajautājat sev: “Kā es to varu izmantot?” Jūs nākat klajā ar idejām, pārmeklējat platformu pēc citiem vājiem punktiem un redzat, vai jūs varat kaut kā tos apvienot. Lielāko daļu laika jūs faktiski neko neatrodat, un šī vāja vieta paliek neizmantojama.
Bet, ja dienas ir koncentrēts darbs, daudzkārtīgi izmēģinājumi un kļūdas, dažreiz jūs saprotat, kā izmantot sākotnējo problēmu. Kad tas notiek, tas vienmēr ir vairāku faktoru kopums, kas viens pats par sevi šķiet mazsvarīgs, bet kopā tie iekļaujas nejaukā mīklā.
Koncentrēšanās un centība, kas nepieciešama, lai atrastu lielāko daļu kļūdu, kuru rezultātā radās nopietni uzlaušanas gadījumi, ir kaut kas, kas pārsniedz revīzijas darbības jomu. Ja viņi vajātu katru vadību ar laiku, viņi burtiski izšķērdētu tik daudz no tā, ka nespētu atrast viegli izmantojamas un acīmredzamas lietas. Nevar teikt, ka auditori nekad neatrod sarežģītas kļūdas, taču ir nepamatoti sagaidīt, ka viņi visu atradīs. Un, ja revidents patiešām atrada kļūdu Alpha Homora un to aizturēja, spēlē ir dziļāki jautājumi nekā ekonomiski stimuli.
Kā nodrošināt DeFi
Ar revīziju saistītie jautājumi nozīmē, ka projektiem vajadzētu sākt bug bounties, lai atrastu patiešām sarežģītas kļūdas. Viņiem nav laika ierobežojumu, daudz vairāk acu skalo platformu, un atalgojums ir atkarīgs no rezultātiem – daudz efektīvāks nekā maksāt auditoriem vairāk darba stundu, cerot, ka viņi kaut ko atradīs.
Lielākā daļa jau tagad saprot bug bounties spēku, kaut arī, protams, Alfa Homora tāda nebija. Bet tādi projekti kā Yearn.finance dara, un viņi tik un tā tika uzlauzti.
Dažreiz šīs lietas vienkārši notiek. Kriptogrāfija satur problemātisko kombināciju, ka kļūdas izmantošana naudas dēļ un izkļūšana no tās ir patiešām vienkārša, savukārt infrastruktūra neatšķiras no visa cita, ko hakeri ir redzējuši iepriekš. Lai sāktu medīt bagātības DeFi, jums jābūt nopietnam kripto ekspertam un pieredzējušam Solidity / Vyper programmētājam – abām lietām, kas nāk ne tikai uzreiz. Baltas cepures hakerim ir daudz standarta Web2 platformu, kas piedāvā ļoti konkurētspējīgas veltes, kāpēc viņiem vajadzētu apgrūtināt DeFi izpēti?
Cilvēki pārprot protokolu nodrošināšanas problēmu. Alfa Homora teica ka jebkura atlīdzība, ko viņi varētu būt samaksājuši, būtu palicis bālāks, salīdzinot ar laupījumu, par kuru bija runa. Bet mērķim nevajadzētu būt maksāt hakeriem to, ko viņi varētu nozagt. Tas ir zaudējis piedāvājums. Mērķis ir piesaistīt labas sirds baltu cepuru hakerus, lai analizētu projektu un saņemtu likumīgu prēmiju. Bounty, kas ir mazāks par miljoniem, ko viņi varētu iegūt, izmantojot kļūdu, bet kas joprojām var būt izmaksa, kas maina dzīvi. Varbūt kaut kas līdzīgs 50 000, 200 000 ASV dolāriem, atkarībā no situācijas? Tas, iespējams, ir mazāks par vienas revīzijas izmaksām, ko veic augsti novērtēts uzņēmums.
Citās ziņās
- 1 collas sāk vēl vienu “vampīru uzbrukumu” Uniswap, samazinot bezmaksas marķierus (dažiem) tā lietotājiem.
- Starta palaiž ar DeFi iespējotu ienesīguma lietotni.
- Pelēktoņi varētu meklēt YFI uzticību. Taisnības labad jāsaka, ka arī daudzi citi, piemēram, SushiSwap vai Chainlink, ir kandidāti.
- Izcili projekti atbalsta GoodFi, DeFi izglītības aliansi.
- HiFi uzsāk fiksētas procentu likmes aizdevumu protokolu.