การ“ แฮ็ก” ของ DAO นั้นเจาะลึกเข้าไปในหน่วยความจำโดยรวมของชุมชนสกุลเงินดิจิทัล หลังจากการระดมทุนที่ประสบความสำเร็จอย่างมากในเดือนพฤษภาคม 2559 DAO ใช้เวลาเพียงหนึ่งเดือนก่อนที่ผู้โจมตีจะเริ่มระบายเงินจากสัญญาอัจฉริยะโดยรับ Ether (ETH) มูลค่าประมาณ 70 ล้านเหรียญ.
อย่างไรก็ตามตามที่บางคนชี้ให้เห็นในเวลานั้นเหตุการณ์ DAO ไม่ใช่การแฮ็ก แต่อย่างใด ผู้โจมตีเพียงแค่ใช้ช่องโหว่ในรหัสสัญญาอัจฉริยะที่อยู่เบื้องหลังเพื่อทำให้มันทำงานในแบบที่โปรแกรมเมอร์ไม่คาดคิด อย่างไรก็ตามเหตุการณ์ดังกล่าวทำให้ชุมชน Ethereum แตกแยกหลังจากมีการตัดสินใจที่จะใช้ Hard Fork ที่จะคืนเงินให้.
ก้าวไปข้างหน้าอย่างรวดเร็วจนถึงต้นปี 2020 และมีมูลค่าการเข้ารหัสลับมากกว่า 1 พันล้านดอลลาร์ที่เชื่อมโยงกับการเงินแบบกระจายอำนาจ นั่นคือ 1 พันล้านดอลลาร์ภายใต้การจัดการสัญญาอัจฉริยะ ดังนั้นในแง่ของประวัติศาสตร์อาจเป็นเรื่องที่หลีกเลี่ยงไม่ได้ที่จะมีคนค้นพบวิธีทำให้แอปพลิเคชันเหล่านี้ทำงานในลักษณะที่ไม่มีใครคาดคิดมาก่อน ครั้งแรกเกิดขึ้นในเดือนกุมภาพันธ์ 2020 โดยมีการโจมตีสองครั้งแยกกันบนแพลตฟอร์มการซื้อขายแบบกระจายอำนาจของ bZx เมื่อไม่นานมานี้แฮ็กเกอร์ทำรายได้ 25 ล้านดอลลาร์จากแพลตฟอร์มการให้กู้ยืมของจีน Lendf.me ซึ่งดำเนินการโดย dForce.
แม้ว่าแฮกเกอร์จะไม่เกี่ยวข้อง แต่แอปพลิเคชัน DeFi ก็แสดงช่องโหว่อื่น ๆ ในช่วง“ Black Thursday” ของคริปโตในช่วงกลางเดือนมีนาคม MakerDAO ได้ชำระบัญชีเงินกู้มูลค่ากว่า 4 ล้านดอลลาร์ขณะที่ราคาของ ETH ดิ่งลง ความผิดพลาดดังกล่าวส่งผลให้มีการลงคะแนนการกำกับดูแลอย่างรวดเร็วและการประมูลหนี้เพื่อเยียวยาความเสียหาย.
ความเห็นส่วนใหญ่มุ่งเน้นไปที่ว่า DeFi สามารถฟื้นตัวจากความพ่ายแพ้เหล่านี้ได้หรือไม่ จากประวัติของเหตุการณ์ DAO ดูเหมือนว่า DeFi จะทำการกู้คืนอย่างหลีกเลี่ยงไม่ได้ บางทีคำถามที่ตรงประเด็นกว่าก็คือสิ่งที่ผู้ให้บริการ DeFi DApp สามารถเรียนรู้จากเหตุการณ์ดังกล่าวเพื่อช่วยหลีกเลี่ยงไม่ให้เกิดขึ้นในอนาคต?
รับรางวัลง่าย ๆ จาก dForce
เหตุการณ์ล่าสุดที่เกี่ยวข้องกับการแฮ็ก Lendf.me ทำให้ได้รับชัยชนะอย่างง่ายดาย แพลตฟอร์มดังกล่าวเป็น DApp ที่ให้ยืมรายใหญ่ที่สุดของจีน อย่างไรก็ตามปรากฎว่าการแฮ็กเกิดจากการที่ dForce คัดลอกโค้ดจาก Compound เวอร์ชันก่อนหน้าซึ่งเป็นแอปพลิเคชันให้กู้ยืมแบบกระจายอำนาจอีกตัวหนึ่ง รหัสเก่าของ Compound ไม่สามารถป้องกันการโจมตีประเภทที่เรียกว่า“ reentrancy” โดยเฉพาะสำหรับโทเค็น ERC-777.
เนื่องจากปัญหานี้ Compound จึงไม่รองรับโทเค็น ERC-777 อย่างไรก็ตามดูเหมือนว่าเมื่อ dForce คัดลอกโค้ดก็ไม่เข้าใจช่องโหว่นี้อย่างแท้จริงเนื่องจากไม่ได้วางมาตรการแบบเดียวกันทำให้สามารถใช้โทเค็น ERC-777 บน Lendf.me ได้ ด้วยเหตุนี้ผู้โจมตีจึงใช้ช่องโหว่โดยใช้โทเค็น ERC-777 imBTC เพื่อระบายเงินจำนวน 25 ล้านดอลลาร์จากแพลตฟอร์ม.
แฮกเกอร์ได้คืนเงินให้แล้ว แต่นี่แทบจะไม่สามารถป้องกันตัวเองได้ ตามรายงานของ Cointelegraph dForce ต้องเผชิญกับการวิพากษ์วิจารณ์ว่าไม่สามารถใช้มาตรการที่เพียงพอเพื่อป้องกันการโจมตีดังกล่าว ดังนั้นหากสมมติว่า dForce ไม่รู้เกี่ยวกับปัญหาพวกเขาจะหลีกเลี่ยงปัญหานี้ได้อย่างไร Alex Melikhov ซีอีโอและผู้ร่วมก่อตั้ง Equilibrium ซึ่งเป็นผู้ออก EOSDT ของ stablecoin ที่ใช้ EOS เป็นแฟนตัวยงของแนวคิดในการรีวิวแบบเพียร์ เขาบอกกับ Cointelegraph ว่า“ การตรวจสอบโค้ดโดยบุคคลที่สามสามารถป้องกันเหตุการณ์นี้ได้” โดยเพิ่ม:
“ สิ่งสำคัญคือการสร้างกรอบการทดสอบและการตรวจสอบโค้ด หลักการสี่ตาสามารถใช้ได้อย่างสมบูรณ์แบบกับการพัฒนาโค้ดและช่วยลดความเสี่ยงจากช่องโหว่ได้อย่างแน่นอน แม้จะเป็นพันธมิตรของ dForce กับ PeckShield (ซึ่งได้ตรวจสอบโปรโตคอล USDx และ Yield Enhancing แบบสาธารณะ) แต่ดูเหมือนว่าผู้ตรวจสอบจะไม่ได้ตรวจสอบรหัสของ LendfMe ของโปรโตคอลการให้ยืม”
Dan Schatt ซีอีโอและผู้ร่วมก่อตั้งแพลตฟอร์มสินเชื่อส่วนกลาง Cred เห็นด้วยแม้กระทั่งแนะนำให้ชุมชนมีบทบาทที่นี่ เขากล่าวกับ Cointelegraph ว่า“ การให้รางวัลบั๊กสามารถช่วยกระตุ้นให้ชุมชนมองหาประเภทของช่องโหว่ที่อาจนำไปสู่การโจมตีและการใช้ประโยชน์จากช่องโหว่ประเภทนี้”
ในขณะที่เผยแพร่ dForce มี ได้รับการยืนยัน 100% ของผู้ใช้ที่ได้รับผลกระทบจากการโจมตีได้รับการคืนเงินผ่านความพยายามในการแจกจ่ายเนื้อหา ในส่วนของมัน dForce ตอบสนองต่อคำขอของ Cointelegraph สำหรับความคิดเห็น Mindao Yang ผู้ก่อตั้ง dForce กล่าวว่าจากการไตร่ตรอง:
“ การโจมตีในลักษณะเดียวกันนี้เกิดขึ้นในการแฮ็คพูล Uniswap / imBTC ก่อนเหตุการณ์ [Lendf.me] ช่องโหว่ Uniswap ที่เกี่ยวข้องกับโทเค็น ERC777 เป็นที่รู้จักตั้งแต่ปลายปี 2018 แต่การรวมกันของโทเค็น ERC777 และโค้ด Compound V1 ที่แนะนำพื้นผิวการโจมตีแบบ reentrancy จะได้รับความสนใจหลังจากเกิดเหตุการณ์เท่านั้น เราน่าจะตื่นตัวมากขึ้นเมื่อเกิดการแฮ็กกลุ่ม Uniswap / imBTC และควรระมัดระวังมากขึ้นเมื่อเริ่มใช้งานเนื้อหาใหม่”
Yang กล่าวต่อไปว่าแพลตฟอร์มมีแผนจะหลีกเลี่ยงการโจมตีที่คล้ายกันและจะนำผู้เชี่ยวชาญภายนอกบางคนเข้ามาในอนาคต:
“ เราจะว่าจ้างที่ปรึกษาด้านความปลอดภัยบุคคลที่สามที่ดีที่สุดในระดับเดียวกันเพื่อช่วยในการตรวจสอบทั้งหมดและช่วยเสริมแนวทางปฏิบัติด้านความปลอดภัยในอนาคตของเรา เราจะหาเวลาที่เหมาะสมในการปรับใช้โปรโตคอลตลาดเงินแบบกระจายอำนาจใหม่และโปรโตคอลอื่น ๆ ในอนาคตด้วยความช่วยเหลือของพวกเขาเราจะแนะนำกระบวนการผสานรวมที่เข้มงวดและผ่านการตรวจสอบเมื่อแนะนำสินทรัพย์เข้าสู่ระบบนิเวศของ dForce”
โฆษกยืนยันว่าจะมีการแบ่งปันรายละเอียดเพิ่มเติมของการดำเนินการในเรื่องนี้ในบล็อกโพสต์ในอนาคต.
BZx – ปัญหาที่ซับซ้อนมากขึ้น
ก่อนเกิดเหตุการณ์ dForce ล่าสุดแพลตฟอร์มการซื้อขาย DeFi bZx ถูกโจมตีสองครั้งในช่วงเวลาหนึ่งสัปดาห์ การโจมตีเหล่านี้มีน้อยกว่ารหัสบั๊กกี้น้อยกว่าความไม่สมบูรณ์และสภาพคล่องที่ค่อนข้างต่ำของพื้นที่สกุลเงินดิจิตอลโดยรวม การแลกเปลี่ยนอนุพันธ์ – ไม่ว่าจะรวมศูนย์หรือกระจายอำนาจ – ขึ้นอยู่กับราคา โดยปกติจะนำมาจากตลาดซื้อขายล่วงหน้าโดยใช้ราคาเฉลี่ยจากการแลกเปลี่ยนหลายรายการ.
ในกรณีของแพลตฟอร์ม DeFi ฟีดราคามาจากการแลกเปลี่ยนแบบกระจายอำนาจเช่น Uniswap และ Kyber ปัญหาคือเนื่องจากโทเค็นบางตัวมีสภาพคล่องต่ำบนแพลตฟอร์มเหล่านี้จึงค่อนข้างง่ายในการปรับเปลี่ยนราคา.
ที่เกี่ยวข้อง: การโจมตีของ BZx Flash Loan ส่งสัญญาณการสิ้นสุดของ DeFi หรือไม่?
BZx จัดการกับเหตุการณ์ดังกล่าวได้ดีครอบคลุมความสูญเสียของผู้ใช้ $ 900,000 จากกองทุนประกัน นักวิจัย Deribit Su Zhu และ Hasu มาก่อน อธิบาย วิธีการที่ราคามีความเสี่ยงต่อการเปลี่ยนแปลงแม้ในการแลกเปลี่ยนแบบรวมศูนย์เช่น BitMEX ใน DeFi ที่ซึ่งการแลกเปลี่ยนแบบกระจายอำนาจขึ้นอยู่กับข้อมูล oracle ราคาอาจกล่าวได้ว่าอุบัติเหตุนี้เกิดขึ้นบนการ์ด.
อย่างไรก็ตามมันนำเสนอปริศนาที่น่าสนใจ – วิธีเดียวที่จะแก้ปัญหานี้คือการนำผู้ใช้เข้ามามากขึ้นเพื่ออัดสภาพคล่องใน DEXs เพื่อลดความเสี่ยงในการจัดการ อย่างไรก็ตามตราบเท่าที่มีความเสี่ยงที่เงินอาจถูกระบายออกไป DeFi จะพยายามดึงดูดผู้ใช้.
ช่องโหว่ที่สำคัญ
ในที่สุดการเปลี่ยนไปใช้เหตุการณ์ Black Thursday เมื่อไม่นานมานี้ซึ่งทำให้เกิดการชำระบัญชีจำนวนมากบน MakerDAO: เท่าที่ราคาตกอยู่เหนือการควบคุมของ Maker มีบทเรียนใดบ้างที่สามารถนำออกไปได้?
ความผิดพลาดในเดือนมีนาคมและการชำระบัญชีในภายหลังส่งผลให้มีการลงคะแนนเพื่อเปลี่ยนพารามิเตอร์การประมูลของ Maker และแนะนำ USDC ซึ่งเป็นประเภทสินทรัพย์หลักประกันที่ไม่เกี่ยวข้องกับตลาด crypto ผู้ว่า DeFi ไม่ต้องสงสัยเลยว่าจะเย้ยหยันในการประชดของ Stablecoin ที่ได้รับการสนับสนุนจาก crypto ซึ่งจำเป็นต้องมีหลักประกันโดยเทียบเท่าแบบรวมศูนย์.
อย่างไรก็ตามการแนะนำ USDC ของ Maker อาจแสดงให้เห็นถึงความเป็นผู้ใหญ่บางอย่างในการรับรู้ของชุมชนว่าตลาด DeFi ที่มีอายุน้อยหมายความว่าจำเป็นต้องปฏิบัติตามตัวอย่างของคู่ค้าที่ค่อนข้างมั่นคงและรวมศูนย์จนกว่าจะสามารถยืนได้ด้วยสองเท้าของตัวเอง ท้ายที่สุด Rune Christensen ผู้ก่อตั้ง Maker กล่าวกับ Cointelegraph ในการให้สัมภาษณ์ว่าเขาเชื่อว่าในที่สุด DeFi จะรวมเข้ากับ CeFi ซึ่งแสดงให้เห็นว่าการใช้ USDC ของ Maker อาจเป็นตัวทำนายในช่วงต้นของการเคลื่อนไหวนี้.
หลังจากบรรลุเป้าหมายมูลค่า 1 พันล้านดอลลาร์ในปีนี้จึงมีคำถามว่าเมื่อใด (แทนที่จะเป็น) DeFi จะฟื้นตัวจากความพ่ายแพ้เหล่านี้และเรียกคืนจำนวนนั้นอีกครั้ง อย่างไรก็ตามความจริงที่ว่าความพ่ายแพ้เหล่านี้เกิดขึ้นอย่างชัดเจนแสดงให้เห็นว่าผู้ก่อตั้ง DeFi ไม่ควรมุ่งเน้นไปที่ภาคส่วนนี้มาไกลแค่ไหน แต่ยังต้องไปอีกไกลแค่ไหน การเรียนรู้จากเหตุการณ์ที่ผ่านมาทำให้มีโอกาสฟื้นตัวได้เร็วขึ้น.