Finanses pārdefinētas: ziņkārīgais Harvest Finance gadījums, 21.-28. Oktobris

Šonedēļ mūs iepatikās vēl viena tipiska “degena ražas ferma”, kas parādījās un vairs nebija aktuāla.

Harvest Finance iekasēja pat 1 miljardu ASV dolāru kopējo vērtību, kas tika bloķēta, pirms “ekonomiskais izmantojums” to noveda. Tās vērtības bloķētais rādītājs tagad ir aptuveni 300 miljoni ASV dolāru, un izredzes uz atveseļošanos izskatās drūmas.

Izmantošana atkal ir atkārtoti izraisījusi diskusijas DeFi kopienas locekļu starpā par to, vai šāda veida ātro aizdevumu bāzes arbitrāžas uzbrukumi patiešām ir hakeri.

Ražas īpašības nodrošina lauksaimniecības velves, kas līdzīgas Yearn’s. Viņi emitē tokenizētas glabāšanas akcijas, pamatojoties uz lietotāju piegādāto aktīvu vērtību. Dažas no šīm glabātuvēm balstās uz Curve Y fondu, kas nodrošina likviditāti mijmaiņas darījumiem starp USDT, USDC, DAI un TUSD.

Uzbrukumā tika izmantoti ātrie kredīti, lai, izmantojot Curve, konvertētu USD 17 miljonus USDT USDC, īslaicīgi paaugstinot USDC cenu līdz USD 1.01. Pēc tam uzbrucējs izmantoja vēl vienu ātru aizdevumu aptuveni 50 miljonu USDC apmērā – kuru sistēma uzskatīja par 50,5 miljonu USD -, lai iekļūtu Harvest USDC glabātuvē.

Pēc ieejas uzbrucējs atgriezīs iepriekšējo USDC tirdzniecību USDT, lai panāktu cenas līdzsvaru, un pēc tam nekavējoties izpirktu savas Harvest baseinu daļas, lai saņemtu USD 50,5 miljonus USDC – tīrā peļņa USD 500 000 par ciklu, kas atkārtojas pietiekami daudz reizes, lai iegūtu $ 24 miljoni laupījumā.

Tātad tas ir kapāt vai nē?

Tehniski šeit nebija nekādu ievainojamību. Šāda veida “arbitrāžas darījumiem” tika veikta apieta pārbaude, kas atklāj, vai šo stabilizatoru cena pārāk daudz atšķiras no to paredzētās vērtības. Bet tas jau bija iestatīts diezgan zemu, un tas patiešām ir vairāk vieglas neērtības nekā faktiskais bloķētājs – uzbrucējam vienkārši jāizmanto vairāk izmantošanas ciklu.

Šī secība ir reibinoša, un tajā joprojām tiek izlaisti daudzi soļi.

Tātad šajā ziņā teorijas, kas ir tikai arbitrāžas tirdzniecība, atbalstītāji ir pareizi – kodeksā nav neparedzētas uzvedības, tas drīzāk atgādina ieročainu tirgus manipulāciju, kas atkārtojas ātri.

Harvest Finance komanda tomēr uzņēmās atbildību par to kā par dizaina kļūdu, kas ir slavējami.

Godīgi sakot, es pat neesmu pārliecināts, kāda jēga ir šīm semantiskajām debatēm. Cilvēki zaudēja naudu novēršamā veidā. Revīzijā to vajadzēja uztvert un atzīmēt kā kritisku problēmu.

Bet noteikti ir jāsaka, ka tā ir atšķirīga kategorija no tādām kļūdām kā reentrancy. Tajā uzsvērts, ka šie finanšu bloki, kurus bieži dēvē par “naudas Lego”, ir jāveido ar vislielāko rūpību pie rasēšanas dēļa.

Tas ir tāpat kā tad, ja kāds no Lego detaļām izveidotu ieroci un cilvēki strīdētos, vai ierocis ir “izveidots” vai “atklāts”, jo detaļas ir tehniski samontētas, kā paredzēts. Jebkurā gadījumā Lego daļas būtu jāpārstrādā, lai tās nevarētu kļūt par letālu ieroci.

Nedaudz par daudz uzticības kriptogrāfijas standartiem

Pirms uzlaušanas Harvest bija ievērojams ar savu ārkārtējo centralizācijas pakāpi. Savās godības dienās visus miljardus ASV dolāru varēja nozagt ar vienu adresi, kuru, visticamāk, kontrolēja projekta anonīmā komanda. Pāris revīziju uzsvēra šo faktu, skaidri norādot arī to, ka adrese spēja izvirzīt kaltuves un izveidot žetonus pēc vēlēšanās..

Projekta fani to enerģiski aizstāvēja, sakot, ka laika bloķēšanas dēļ pārvaldības atslēgu turētāji naudu var nozagt tikai 12 stundas pēc tam, kad ir paziņojuši par saviem nodomiem, vai ka viņi var izdrukāt tikai ierobežotu skaitu žetonu..

Es ļaušu jums būt šo argumentu tiesnesim. Plašāks aspekts ir tāds, ka, meklējot ražu, šie “degeni” ignorē decentralizācijas pamatprincipus un, jūs zināt, kas ir DeFi.

Un es nesaku, ka tas ir slikti dažu manis ideālistisku principu dēļ. Tas notiek paklāju vilkšanas dēļ. Šie ir precīzi apstākļi, kas izraisīja tādas katastrofas kā UniCats.

Traks bZX stāsts

Runājot par hakeriem, man bija prieks intervēt bZX komandu par viņu briesmīgo gadu. Viņi 2020. gadā cieta kopumā trīs uzlaušanas gadījumus, lai gan daži no viņiem noteikti vairāk jūtas kā iepriekš minētie “ekonomiskie varoņi”.

Komanda nav nekas cits, ja nav veltīts. Viens stāsts, kas nepiedalījās rakstā, bija tas, kā Kails Kistners nakts vidū izlēca ar žogu un ielauzās vārtu kopienā, kur dzīvoja viņa līdzdibinātājs Toms Bīns. Acīmredzot bija kļūda, kuru vajadzēja pēc iespējas ātrāk novērst burtiski.

Spriežot pēc stāsta, būt par DeFi izstrādātāju nav domāts ne vārgiem cilvēkiem, ne arī cilvēkiem, kuriem patīk gulēt.

Protams, nevar nepamanīt, ka bZX tika izmantots pārāk bieži. Kā bijušais kļūdu atalgojuma mednieks es noteikti redzēju, kā viņu drošības prakse bija zemāka par gada sākumu – piemēram, kļūdu atlīdzības programma bija diezgan slikta -, bet es arī redzēju, kā viņi novērsa daudzas savas kļūdas. Varbūt ir arī citi pamatā esošie jautājumi, bet es domāju, ka tie galu galā varētu atgriezties, ja vairs nenotiks incidenti.

DeFi draudi mietam

ConsenSys ziņojums izceļ jautājumu, kas līdz šim tiek ignorēts, un tas būtībā ir alternatīvās izmaksas par dalību DeFi vidē.

Ideja ir diezgan vienkārša: nauda dzen visaugstāko ienesīgumu, un, šķiet, ka DeFi mūsdienās to piedāvā daudz. Pat kaut kas samērā pieradis, piemēram, 20% APY, varētu pārspēt potenciālos aptuveni 8% no Ethereum 2.0 ievietošanas un apstiprināšanas.

Šī problēma ir vēl vairāk saasināta, ja ņemat vērā, ka Ethereum 0. fāze neļaus jums izņemt vai pārsūtīt jūsu piešķirtos žetonus, kamēr nebūs 1. vai 2. fāzes. Jūs būtībā veicat likmes, ka komanda piegādās pilnu ieviešanu saprātīgā laika posmā, un jūs patiešām nesaņemat tik lielu atlīdzību par risku.

Šajā scenārijā, jo populārāks ir DeFi, jo mazāk drošs ir tīkls, un tā ir liela problēma.

Par laimi, tas lielā mērā ir atrisināms, izmantojot mieta atvasinājumus – šķidros žetonus, kas nodrošināti ar ķeršanai izmantoto nodrošinājumu, sava veida ētera IOU. Ir saistīti riski – proti, ka pamatā esošais nodrošinājums varētu samazināties un IOU pēkšņi būtu mazāk vērts. Tīklam ir labi, ka šajā gadījumā tiek ietekmēts tikai DeFi, atjaunojot nozīmes dabisko hierarhiju.

Bet tas izceļ to, cik daudz neparedzētu mijiedarbību varētu būt nākotnē. DeFi jau tagad var kļūt ārkārtīgi sarežģīts, un, ja cilvēki to pilnībā nesaprot, sekas var būt briesmīgas.