Μας χάρισε ένα ακόμη χαρακτηριστικό «αγρόκτημα αποδόσεων degen» που βγαίνει μέσα και έξω από αυτήν τη βδομάδα.
Η Harvest Finance συγκέντρωσε έως και 1 δισεκατομμύριο δολάρια συνολικής αξίας κλειδωμένη προτού ένα «οικονομικό εκμεταλλεύσιμο» το έστειλε. Το μέτρο που κλειδώνει την αξία του κυμαίνεται τώρα περίπου 300 εκατομμύρια δολάρια και οι προοπτικές για ανάκαμψη φαίνονται ζοφερές.
Το exploit έχει ξαναρχίσει τις συζητήσεις μεταξύ των μελών της κοινότητας του DeFi σχετικά με το αν αυτοί οι τύποι επιθέσεων arbitrage που βασίζονται σε δάνεια flash είναι πραγματικά hacks.
Τα χαρακτηριστικά της συγκομιδής αποδίδουν θησαυροφυλάκια καλλιέργειας παρόμοια με αυτά του Yearn’s. Εκδίδουν μετοχές θησαυροφυλακίων με βάση την αξία των στοιχείων που παρέχονται από τους χρήστες. Μερικά από αυτά τα θησαυροφυλάκια βασίζονται στο Curve’s Y pool, το οποίο τροφοδοτεί τη ρευστότητα για ανταλλαγές μεταξύ USDT, USDC, DAI και TUSD.
Η επίθεση χρησιμοποίησε flash δάνεια για να μετατρέψει 17 εκατομμύρια δολάρια USDT σε USDC μέσω της καμπύλης, αυξάνοντας προσωρινά την τιμή USDC σε 1,01 $. Στη συνέχεια, ο εισβολέας χρησιμοποίησε ένα άλλο χρηματικό δάνειο ύψους περίπου 50 εκατομμυρίων δολαρίων USDC – το οποίο το σύστημα θεωρούσε ότι αξίζει 50,5 εκατομμύρια δολάρια – για να μπει στο θησαυροφυλάκιο Harvest USDC.
Μετά την είσοδό του, ο εισβολέας θα αντιστρέψει το προηγούμενο εμπόριο USDC σε USDT για να φέρει την τιμή σε ισορροπία και, στη συνέχεια, να εξαργυρώσει αμέσως τις μετοχές της από τις δεξαμενές της Harvest για να λάβει 50,5 εκατομμύρια δολάρια σε USDC – ένα καθαρό κέρδος 500.000 $ ανά κύκλο επαναλαμβανόμενο αρκετές φορές για να αποκτήσει 24 $ εκατομμύρια σε λεηλασίες.
Λοιπόν, αυτό είναι ένα hack ή όχι?
Τεχνικά, δεν υπήρχαν τρωτά σημεία εδώ. Υπήρξε μια παράκαμψη ελέγχου για αυτούς τους τύπους “συναλλαγών arbitrage” που ανιχνεύει εάν η τιμή αυτών των σταθερών νομισμάτων αποκλίνει πάρα πολύ από την επιδιωκόμενη αξία τους. Αλλά ήταν ήδη αρκετά χαμηλό και είναι πολύ πιο ήπια ταλαιπωρία από έναν πραγματικό αποκλεισμό – ένας εισβολέας πρέπει απλώς να χρησιμοποιήσει περισσότερους κύκλους εκμετάλλευσης.
Αυτή η ακολουθία είναι ζαλιστική και παραλείπει πολλά βήματα.
Έτσι, υπό αυτή την έννοια, οι υποστηρικτές της θεωρίας ότι πρόκειται απλώς για εμπόριο arbitrage είναι σωστοί – δεν υπάρχει ακούσια συμπεριφορά στον κώδικα, μοιάζει περισσότερο με επαναλαμβανόμενη ταχεία χειραγώγηση της αγοράς.
Ωστόσο, η ομάδα της Harvest Finance ανέλαβε την ευθύνη για αυτό ως σχεδιαστικό ελάττωμα, το οποίο είναι αξιέπαινο.
Ειλικρινά, δεν είμαι καν σίγουρος ποιο είναι το νόημα αυτών των σημασιολογικών συζητήσεων. Οι άνθρωποι έχασαν χρήματα με προληπτικό τρόπο. Ένας έλεγχος έπρεπε να το καταλάβει και να το χαρακτηρίσει ως κρίσιμο ζήτημα.
Αλλά σίγουρα υπάρχει περίπτωση να είναι μια διαφορετική κατηγορία από σφάλματα όπως η επανέναρξη. Επισημαίνει ότι αυτά τα χρηματοοικονομικά δομικά στοιχεία – συχνά αναφέρονται ως “money Lego” – πρέπει να σχεδιαστούν με μεγάλη προσοχή στο σχέδιο.
Είναι σαν να κάποιος δημιούργησε ένα όπλο από τα μέρη του Lego και οι άνθρωποι συζητούσαν εάν το όπλο «δημιουργήθηκε» ή «ανακαλύφθηκε» επειδή τα μέρη συναρμολογήθηκαν τεχνικά όπως σχεδιάστηκε. Είτε έτσι είτε αλλιώς τα μέρη Lego πρέπει να ξανασχεδιαστούν ώστε να μην γίνουν θανατηφόρα όπλα.
Λίγη εμπιστοσύνη για τα πρότυπα κρυπτογράφησης
Πριν από το hack, η Harvest ήταν αξιοσημείωτη για τον ακραίο βαθμό συγκέντρωσης. Στις μέρες της δόξας, όλα τα 1 δισεκατομμύριο δολάρια θα μπορούσαν να έχουν κλαπεί με μία μόνο διεύθυνση, πιθανότατα ελέγχονται από την ανώνυμη ομάδα πίσω από το έργο. Μερικοί έλεγχοι τόνισαν αυτό το γεγονός, καθιστώντας επίσης σαφές ότι η διεύθυνση μπόρεσε να ορίσει νομιστές και να δημιουργήσει μάρκες κατά βούληση.
Οι οπαδοί του έργου το υπερασπίστηκαν σθεναρά, λέγοντας ότι, λόγω του χρονικού κλειδώματος, οι κάτοχοι κλειδιών διακυβέρνησης μπορούσαν να κλέψουν τα χρήματα μόνο 12 ώρες μετά την ένδειξη των προθέσεων τους ή ότι μπορούσαν να εκτυπώσουν μόνο περιορισμένο αριθμό μαρκών.
Θα σας αφήσω να κρίνετε αυτά τα επιχειρήματα. Το ευρύτερο σημείο είναι ότι στην αναζήτηση της απόδοσης, αυτοί οι «degens» αγνοούν τις βασικές αρχές της αποκέντρωσης και, ξέρετε, τι αφορά το DeFi.
Και δεν λέω ότι είναι κακό, λόγω ορισμένων ιδεαλιστικών αρχών που έχω. Είναι εξαιτίας της έλξης του χαλιού. Αυτές είναι οι ακριβείς συνθήκες που οδήγησαν σε καταστροφές όπως η UniCats.
Η τρελή ιστορία του bZX
Μιλώντας για hacks, είχα την ευχαρίστηση να παίρνω συνέντευξη από την ομάδα bZX για την τρομερή χρονιά τους. Υπέστησαν συνολικά τρεις παραβιάσεις κατά τη διάρκεια του 2020, αν και ορισμένες από αυτές σίγουρα μοιάζουν περισσότερο με τα «οικονομικά κατορθώματα» που αναφέρθηκαν προηγουμένως.
Η ομάδα δεν είναι τίποτα αν δεν είναι αφοσιωμένη. Μια ιστορία που δεν μπόρεσε να φτάσει στο άρθρο ήταν πώς ο Kyle Kistner πήδηξε ένα φράχτη στη μέση της νύχτας και εισέβαλε στην περιφραγμένη κοινότητα όπου ζούσε ο συνιδρυτής του Tom Bean. Υπήρχε προφανώς ένα σφάλμα που έπρεπε να διορθωθεί κυριολεκτικά το συντομότερο δυνατό.
Κρίνοντας από την ιστορία, το να είσαι προγραμματιστής DeFi δεν είναι για τον εξασθενημένο της καρδιάς, ούτε για τους ανθρώπους που τους αρέσει να κοιμούνται.
Φυσικά, δεν μπορούμε παρά να παρατηρήσουμε ότι το bZX εκμεταλλεύτηκε πολύ συχνά. Ως πρώην κυνηγός bug bounty, σίγουρα μπορούσα να δω πώς οι πρακτικές ασφαλείας τους ήταν χαμηλότερες στις αρχές του έτους – το πρόγραμμα bug bounty ήταν αρκετά κακό, για παράδειγμα – αλλά είδα επίσης πώς διόρθωσαν πολλά από τα λάθη τους. Ίσως υπάρχουν άλλα υποκείμενα ζητήματα, αλλά νομίζω ότι θα μπορούσαν τελικά να ανακάμψουν αν δεν συμβούν άλλα περιστατικά.
Η απειλή του DeFi στο στοίχημα
Μια έκθεση ConsenSys επισημαίνει ένα ζήτημα που έχει αγνοηθεί μέχρι στιγμής, το οποίο είναι ουσιαστικά το κόστος ευκαιρίας στοιχηματισμού σε περιβάλλον DeFi.
Η ιδέα είναι πολύ απλή: τα χρήματα κυνηγούν τις υψηλότερες αποδόσεις και το DeFi φαίνεται να προσφέρει πολλά από αυτά τις μέρες. Ακόμα και κάτι σχετικά ήρεμο όπως το 20% APY θα μπορούσε να κερδίσει το δυναμικό 8% περίπου από το στοίχημα και την επικύρωση του Ethereum 2.0.
Αυτό το πρόβλημα επιδεινώνεται ακόμη περισσότερο όταν θεωρείτε ότι η Φάση 0 του Ethereum δεν θα σας αφήσει να αποσύρετε ή να μεταφέρετε τα διακριτικά που δεσμεύσατε έως ότου έρθουν η Φάση 1 ή 2. Βασικά στοιχηματίζετε ότι η ομάδα θα αποστείλει μια πλήρη εφαρμογή σε ένα λογικό χρονικό διάστημα και πραγματικά δεν θα ανταμειφθείτε τόσο πολύ για τον κίνδυνο.
Σε αυτό το σενάριο, όσο πιο δημοφιλές είναι το DeFi, τόσο λιγότερο ασφαλές είναι το δίκτυο και αυτό είναι ένα μεγάλο πρόβλημα.
Ευτυχώς, είναι σε μεγάλο βαθμό επιλύσιμο μέσω στοιχήματος παραγώγων – υγρών μαρκών που υποστηρίζονται από ασφάλεια που χρησιμοποιείται για στοίχημα, ένα είδος Ether IOU. Υπάρχουν κίνδυνοι – δηλαδή ότι η υποκείμενη ασφάλεια μπορεί να περικοπεί και τα IOUs θα ξαφνικά αξίζουν λιγότερο. Το καλό για το δίκτυο είναι ότι μόνο το DeFi επηρεάζεται σε αυτήν την περίπτωση, αποκαθιστώντας τη φυσική ιεραρχία της σημασίας.
Αλλά αυτό τονίζει πόσες ακούσιες αλληλεπιδράσεις θα μπορούσαν να υπάρξουν στο μέλλον. Το DeFi μπορεί ήδη να γίνει εξαιρετικά περίπλοκο και αν οι άνθρωποι δεν το καταλάβουν πλήρως, οι συνέπειες θα μπορούσαν να είναι τρομερές.