Οι πρόσφατες, δαπανηρές αποτυχίες του DeFi χρησιμεύουν ως μαθήματα για τον τομέα

Το «hack» του DAO μπαίνει βαθιά στη συλλογική μνήμη της κοινότητας κρυπτογράφησης. Μετά από ένα εξαιρετικά επιτυχημένο crowdfund τον Μάιο του 2016, το DAO διήρκεσε λίγο περισσότερο από ένα μήνα προτού ένας εισβολέας άρχισε να εξαντλεί χρήματα από το έξυπνο συμβόλαιο, παίρνοντας περίπου 70 εκατομμύρια δολάρια Ether (ETH).

Ωστόσο, όπως ανέφεραν ορισμένοι τότε, το περιστατικό DAO δεν ήταν καθόλου χακαριστικό. Ο εισβολέας απλώς εκμεταλλεύτηκε μια ευπάθεια στον υποκείμενο κώδικα έξυπνης σύμβασης για να το κάνει να συμπεριφέρεται με τρόπο που δεν περίμεναν οι προγραμματιστές. Ωστόσο, το περιστατικό χώρισε την κοινότητα Ethereum μετά τη λήψη απόφασης για την εφαρμογή ενός σκληρού πιρουνιού που θα επέστρεφε τα χρήματα.

Προχωρήστε γρήγορα στις αρχές του 2020 και υπήρχε κρυπτογράφηση αξίας άνω του 1 δισεκατομμυρίου δολαρίων που συνδέεται με την αποκεντρωμένη χρηματοδότηση. Αυτό είναι 1 δισεκατομμύριο δολάρια υπό τη διαχείριση έξυπνων συμβάσεων. Έτσι, υπό το φως της ιστορίας, ήταν ίσως αναπόφευκτο κάποιος να βρει τελικά τρόπους για να κάνει αυτές τις εφαρμογές να εκτελούνται με τρόπο που κανείς δεν περίμενε. Το πρώτο ήρθε τον Φεβρουάριο του 2020, με δύο ξεχωριστές επιθέσεις στην αποκεντρωμένη πλατφόρμα συναλλαγών bZx. Πιο πρόσφατα, ένας χάκερ απέδωσε 25 εκατομμύρια δολάρια από την κινεζική πλατφόρμα δανεισμού Lendf.me, το οποίο διαχειρίζεται η dForce.

Ακόμα και όταν οι hackers δεν εμπλέκονται, οι εφαρμογές DeFi έχουν δείξει άλλες ευπάθειες. Κατά τη διάρκεια της «Μαύρης Πέμπτης» της κρυπτογράφησης στα μέσα Μαρτίου, η MakerDAO εκκαθάρισε δάνεια αξίας άνω των 4 εκατομμυρίων δολαρίων καθώς η τιμή του ETH έπεσε. Η συντριβή είχε ως αποτέλεσμα μια γρήγορη ψηφοφορία διακυβέρνησης και δημοπρασία χρέους για την αποκατάσταση της ζημιάς.

Μεγάλο μέρος των σχολίων έχει επικεντρωθεί στο κατά πόσον το DeFi μπορεί να ανακάμψει από αυτές τις αποτυχίες. Με βάση το ιστορικό του περιστατικού DAO, φαίνεται αναπόφευκτο το DeFi να κάνει ανάκαμψη. Ίσως η πιο σχετική ερώτηση είναι, τι μπορούν να μάθουν οι χειριστές της DeFi DApp από τέτοια περιστατικά για να τους αποφύγουν να συμβούν στο μέλλον?

Εύκολα κέρδη από το dForce

Το πιο πρόσφατο περιστατικό που αφορούσε το hack του Lendf.me προσφέρει μερικές εύκολες νίκες. Η πλατφόρμα είναι το μεγαλύτερο DApp δανεισμού της Κίνας. Ωστόσο, αποδεικνύεται ότι η παραβίαση πραγματοποιήθηκε ως αποτέλεσμα του dForce να αντιγράψει κώδικα από μια προηγούμενη έκδοση του Compound, μια άλλη αποκεντρωμένη εφαρμογή δανεισμού. Ο παλιός κώδικας της Compound δεν μπόρεσε να προφυλάξει από τον τύπο των επιθέσεων που είναι γνωστές ως «επανεισδοχή» ειδικά για τα διακριτικά ERC-777.

Λόγω αυτού του προβλήματος, η Compound δεν υποστήριξε διακριτικά ERC-777. Ωστόσο, φαίνεται ότι όταν η dForce αντιγράφει τον κώδικα, δεν κατάλαβε πραγματικά αυτήν την ευπάθεια, καθώς δεν έβαλε τα ίδια μέτρα, επιτρέποντας τη χρήση των διακριτικών ERC-777 στο Lendf.me. Κατά συνέπεια, ο εισβολέας εκμεταλλεύτηκε την ευπάθεια, χρησιμοποιώντας το διακριτικό ERC-777 imBTC για να αποσύρει 25 εκατομμύρια δολάρια από την πλατφόρμα.

Ο χάκερ επέστρεψε έκτοτε τα χρήματα, αλλά αυτό δεν αποτελεί άμυνα από μόνο του. Όπως ανέφερε η Cointelegraph, η dForce αντιμετώπισε κριτική για το γεγονός ότι δεν έλαβε επαρκή μέτρα για την πρόληψη μιας τέτοιας επίθεσης. Έτσι, αν υποθέσουμε ότι το dForce απλά δεν γνώριζε το ζήτημα, πώς θα μπορούσαν να το αποφύγουν; Ο Alex Melikhov, Διευθύνων Σύμβουλος και συνιδρυτής της Equilibrium – εκδότης του stablecoin EOSDT που βασίζεται στο EOS – είναι μεγάλος οπαδός της ιδέας των αξιολογήσεων από ομοτίμους. Είπε στο Cointelegraph ότι μια “αναθεώρηση κώδικα από τρίτο μέρος θα μπορούσε να είχε αποτρέψει το συμβάν”, προσθέτοντας:

«Μια σημαντική πτυχή εδώ είναι η οικοδόμηση ενός πλαισίου δοκιμών και λογιστικών ελέγχων. Η αρχή των τεσσάρων ματιών είναι απόλυτα εφαρμόσιμη στην ανάπτυξη κώδικα και σίγουρα μετριάζει τους κινδύνους ευπάθειας. Παρά τη συνεργασία της dForce με την PeckShield (που έχει ελέγξει δημόσια το πρωτόκολλο USDx και Yield Enhancing), φαίνεται ότι οι ελεγκτές δεν έχουν εξετάσει τον κώδικα του πρωτοκόλλου δανεισμού LendfMe. “

Ο Dan Schatt, Διευθύνων Σύμβουλος και συνιδρυτής της κεντρικής πλατφόρμας δανεισμού Cred, συμφωνεί, προτείνοντας ακόμη και ότι η κοινότητα θα μπορούσε να διαδραματίσει κάποιο ρόλο εδώ. Δήλωσε στο Cointelegraph, «Τα bug bounties μπορούν να βοηθήσουν την κοινότητα να αναζητήσει τον τύπο ευπάθειας που μπορεί να οδηγήσει σε επιθέσεις και εκμετάλλευση αυτών των τύπων ευπαθειών».

Τη στιγμή της δημοσίευσης, η dForce είχε επιβεβαιωμένος ότι το 100% των χρηστών που επηρεάστηκαν από την επίθεση είχαν επιστραφεί μέσω της προσπάθειας ανακατανομής στοιχείων. Από την πλευρά της, η dForce απάντησε στο αίτημα για σχόλιο της Cointelegraph. Ο Μιντάο Γιανγκ, ιδρυτής της dForce, δήλωσε ότι κατά τον προβληματισμό:

«Μια παρόμοια επίθεση έλαβε χώρα στο hack της Uniswap / imBTC πριν από το συμβάν [Lendf.me]. Η ευπάθεια του Uniswap, που σχετίζεται με το διακριτικό ERC777, ήταν γνωστή από τα τέλη του 2018, αλλά ο συνδυασμός του διακριτικού ERC777 και του κωδικού Compound V1 που εισήγαγε μια επιθετική επιφάνεια επανεισόδου ήρθε στην προσοχή μας μόνο μετά το συμβάν. Θα μπορούσαμε να είμαστε πιο επιφυλακτικοί όταν συνέβη το hack της Uniswap / imBTC και θα μπορούσαμε να είμαστε πιο προσεκτικοί κατά την επιβίβαση νέων στοιχείων. “

Ο Γιανγκ συνέχισε λέγοντας ότι η πλατφόρμα σχεδιάζει να αποφύγει παρόμοιες επιθέσεις και θα επιβιβαστεί στο μέλλον ορισμένοι εξωτερικοί εμπειρογνώμονες:

«Θα προσελκύσουμε τους καλύτερους στην κατηγορία συμβούλους ασφαλείας τρίτων για να βοηθήσουμε με έναν πλήρη έλεγχο και να μας βοηθήσουμε να ενισχύσουμε τις μελλοντικές μας πρακτικές ασφάλειας. Θα βρούμε την κατάλληλη στιγμή για την ανακατανομή ενός νέου αποκεντρωμένου πρωτοκόλλου αγοράς χρήματος και άλλων πρωτοκόλλων. Προχωρώντας προς τα εμπρός, με τη βοήθειά τους, θα εισαγάγουμε μια αυστηρή, ελεγχόμενη διαδικασία ολοκλήρωσης κατά την εισαγωγή περιουσιακών στοιχείων στο οικοσύστημα dForce. “

Ο εκπρόσωπος επιβεβαίωσε ότι περαιτέρω λεπτομέρειες σχετικά με τις ενέργειες που αναλαμβάνονται σχετικά με αυτό θα κοινοποιηθούν σε μια μελλοντική ανάρτηση ιστολογίου.

BZx – ένα πιο περίπλοκο ζήτημα

Πριν από το πρόσφατο περιστατικό dForce, η πλατφόρμα συναλλαγών DeFi bZx χτυπήθηκε δύο φορές μέσα σε μια εβδομάδα. Αυτές οι επιθέσεις ήταν λιγότερο από τον κωδικό buggy από την ανωριμότητα και σχετικά χαμηλή ρευστότητα του χώρου κρυπτογράφησης συνολικά. Οι ανταλλαγές παραγώγων – είτε συγκεντρωτικές είτε αποκεντρωμένες – βασίζονται σε χρηστές τιμές. Αυτά λαμβάνονται συνήθως από τις αγορές spot, χρησιμοποιώντας μια μέση τιμή από πολλαπλά χρηματιστήρια.

Στην περίπτωση των πλατφορμών DeFi, η ροή τιμών προέρχεται από αποκεντρωμένες ανταλλαγές όπως το Uniswap και το Kyber. Το ζήτημα είναι ότι λόγω ορισμένων διακριτικών που έχουν χαμηλή ρευστότητα σε αυτές τις πλατφόρμες, είναι σχετικά εύκολο να χειριστείτε την τιμή.

Σχετικά: Οι επιθέσεις δανείου Flash BZx σηματοδοτούν το τέλος του DeFi?

Η BZx αντιμετώπισε καλά το περιστατικό, καλύπτοντας 900.000 $ απώλειες χρηστών από ένα ασφαλιστικό ταμείο. Οι ερευνητές του Deribit Su Zhu και Hasu έχουν προηγουμένως εξήγησε πώς οι χρηστές τιμές είναι ευάλωτες σε χειραγώγηση ακόμη και σε κεντρικές ανταλλαγές όπως το BitMEX. Στο DeFi, όπου βασίζονται οι αποκεντρωμένες ανταλλαγές για δεδομένα τιμής, θα μπορούσε κανείς να πει ότι αυτό το ατύχημα ήταν στις κάρτες.

Ωστόσο, παρουσιάζει ένα συναρπαστικό αίνιγμα – ο μόνος τρόπος για την επίλυση της πρόκλησης είναι να προσελκύσουμε περισσότερους χρήστες να εισάγουν ρευστότητα σε DEX για να μετριάσουν την ευπάθεια στη χειραγώγηση. Ωστόσο, αρκεί να υπάρχει κίνδυνος εξάντλησης χρημάτων, το DeFi θα αγωνιστεί να προσελκύσει χρήστες.

Η βασική ευπάθεια

Τέλος, επιστρέφοντας στο πρόσφατο συμβάν της Μαύρης Πέμπτης, το οποίο προκάλεσε μαζικές εκκαθαρίσεις στο MakerDAO: Όσο η πτώση των τιμών ήταν τελείως πέρα ​​από τον έλεγχο του Maker, υπάρχουν κάποια μαθήματα που μπορούν να αφαιρεθούν από αυτό?

Η συντριβή του Μαρτίου και οι επακόλουθες εκκαθαρίσεις οδήγησαν σε ψηφοφορία για αλλαγή των παραμέτρων δημοπρασίας του Maker και εισαγωγή του USDC, ενός τύπου ασφάλειας που δεν σχετίζεται με την αγορά κρυπτογράφησης. Οι επικριτές DeFi θα αναμφίβολα χλευάζουν την ειρωνεία ενός κρυπτονομισμένου σταθερού Bitcoin που πρέπει να εξασφαλιστεί από ένα κεντρικό ισοδύναμο.

Ωστόσο, ίσως η εισαγωγή του USDC από τον Maker δείχνει μια ορισμένη ωριμότητα στην αναγνώριση της κοινότητας ότι η νεαρή ηλικία της αγοράς DeFi σημαίνει ότι πρέπει να ακολουθήσει το παράδειγμα των σχετικά σταθερών, κεντρικών ομολόγων της έως ότου μπορεί να σταθεί στα δικά της πόδια. Σε τελική ανάλυση, ο ιδρυτής του Maker Rune Christensen είπε πρόσφατα στο Cointelegraph σε μια συνέντευξή του ότι πιστεύει ότι ο DeFi θα συγχωνευτεί τελικά με το CeFi, γεγονός που δείχνει ότι ίσως η χρήση του USDC από τον Maker είναι πρώιμη πρόβλεψη αυτής της κίνησης..

Έχοντας φτάσει το ορόσημο του 1 δισεκατομμυρίου δολαρίων φέτος, είναι ερώτημα πότε (και όχι εάν) το DeFi θα ανακάμψει από αυτές τις αποτυχίες και θα ανακτήσει αυτόν τον αριθμό για άλλη μια φορά. Ωστόσο, το γεγονός ότι αυτές οι αποτυχίες πραγματοποιήθηκαν καθόλου δείχνει ότι οι ιδρυτές της DeFi δεν πρέπει να επικεντρώνονται στο πόσο μακριά έχει φτάσει ο τομέας, αλλά πόσο μακριά πρέπει να διανύσει. Μαθαίνοντας από πρόσφατα περιστατικά, υπάρχει πιθανότητα ταχύτερης ανάκαμψης.