Bu haftanın başlarında, merkezi olmayan borç verme protokolü bZx, arka arkaya “flaş kredi” saldırılarında kullanıldı. İki istismar birbirinden farklı olsa da, nihai sonuçlar aynı kaldı. Platformdan toplam 954.000 $ toplandı. Ama tam olarak ne oldu? Bir istismar mıydı, basit bir arbitraj vakası mı yoksa kötü niyetli bir saldırı mı? Ve merkezi olmayan finans buradan nereye gidiyor??
DeFi sektörü için iyi bir PR haftası olmadı. Bazıları için, eski finansal sisteme bir alternatif vaat eden hareket, başarısız bir deney gibi görünmeye başlıyor. Diğerleri için saldırılar, bir ticaretin yanlış tarafında yakalanmaktan biraz daha fazlasıydı. Ancak bu saldırılar ister meşru bir boşluktan kaynaklanmış olsun, ister önceden tasarlanmış bir saldırının sonucu olsun, anlam bilgisinden bağımsız olarak, DeFi’ye olan inanç gerçekten test ediliyor.
İlk saldırı
14 Şubat’ta ilk istismar gerçekleşti. İçinde otopsi Olaydan bu yana derlenen bZx kurucu ortağı Kyle Kistner, saldırının tam olarak ne zaman gerçekleştiğini anlatıyor. BZx ekibi, DeFi’nin en iyilerini ironik bir şekilde kutlayan bir Ethereum partisi olan ETHDenver konferansı için çıktı. Ekip “şüpheli” bir işlemle ilgili bilgi aldığında alarm zilleri çalmaya başladı. Kistner, “tBTC mutlu saatinden hemen eve döndük,” diye yazıyor..
Kistner, şirketin Telegram grubunun üyelerine bildirimde bulunarak, bir bZx sözleşmesinde bir “istismarın” gerçekleştirildiğini – ki bu hemen duraklatıldı – ve “ETH’nin bir kısmının” kaybedildiğini açıkladı. İlk olayda toplanan gerçek miktar 1.193 Ether (ETH) oldu. Binance patronu Changpeng Zhao, bZx’in sözlerini tekrarlıyor onaylandı kullanıcı fonlarının “SAFU” olduğu.
Neyse ki kullanıcıları için, bZx arızaya karşı korumalı olarak çalışır – borç verenler tarafından kazanılan tüm faizin% 10’unu toplar ve bunu bir sigorta fonunda toplar. Sonuç olarak, bZx kullanıcılarına yönelik kayıplar çok düşüktür. Ancak bZx platformu için saldırı, yüksek itibar bedeli ile geldi.
Soygunu çekmek
Peki saldırgan, sıfırdan 1.193 ETH kar elde etmeyi nasıl başardı? Biraz indirgeyici bir açıklama kullanmak için, saldırgan bir “pompalama ve boşaltma” gerçekleştirmek için bir işlem ağı tasarladı.
Şu şekilde oldu:
İlk olarak, saldırgan DeFi borç verme platformu dYdX üzerinden 10.000 ETH kredisi aldı. Daha sonra krediyi bZx ve Compound olarak bilinen başka bir kredi platformu arasında paylaştırırlar. Compound’a gönderilen ETH, 112 sarılı Bitcoin (WBTC) için başka bir krediyi teminat altına almak için kullanıldı. Bu arada, bZx’e atanan 1.300 ETH, ETH’yi WBTC lehine kısaltmak için kullanıldı..
DeFi ağı Kyber aracılığıyla bZx ile fiyat verilerini paylaşan ve Uniswap olarak bilinen merkezi olmayan bir borsanın düşük likiditesinden yararlanan saldırgan, bZx’e yerleştirilen WBTC kısa devre aracılığıyla Uniswap’ta WBTC’nin fiyatını pompalamayı başardı..
Karşıt daha sonra, şişirilmiş piyasa oranından yararlanarak Uniswap’ta Bileşik’ten ödünç aldığı WBTC’yi terk etti. Elinde kar varken, saldırgan dYdX’ten orijinal krediyi tam olarak geri ödedi ve 1.193 ETH’lik soğuk bir karı cebe attı ve bZx’e yetersiz teminatsız bir kredi verdi.
Ancak önemli olan şudur: Yukarıda ayrıntıları verilen her şey tek bir işlemde gerçekleştirildi – “flaş kredi” olarak bilinen bir DeFi ürünü aracılığıyla gerçekleştirildi.
Flash krediler ve sözleşme hataları
Hızlı krediler, tüccarların herhangi bir destek olmadan kredi almalarına izin verir – yani teminat ihtiyacını ortadan kaldırırlar. Kredi hemen geri ödendiği için bunu yapabilirler. Arbitrajcılar, hesaplanmış arbitraj işlemlerini gerçekleştirmek için kodladıkları akıllı sözleşmelerle birlikte flaş krediler kullanır: farklı pazarlarda varlıkların eşzamanlı alım ve satımı.
Atomik olarak yürütülen flaş krediler, Ethereum ağı orijinal işlemi geri alarak krediyi geri ödemedeki herhangi bir başarısızlığı düzelttiği için “risksiz” olarak pazarlanır. Atomik doğalarının bir sonucu olarak, flaş kredi saldırısı gerçekleşirken hiçbir taraf engelleyemedi. Flash kredinin ödünç alındığı borsa dYdX’in operasyon başkanı Zhuoxun Yin, Cointelegraph’a şunları söyledi:
“Her şey gerçekleşene kadar resmi olarak hiçbir şeyin farkında değildik. Bu işlemlerin hepsi atomiktir, yani her şey çalışır veya başarısız olur. ”
Ancak, saldırganın elindeki ani krediler değildi. Ayrıca bZx akıllı sözleşmesindeki güvenlik açıklarından da yararlandılar. Kistner, Cointelegraph’a ilk saldırının nasıl gerçekleşmesine izin verildiğini açıkladı:
“İlk saldırı, borç verenlerin fonlarını besleyen büyük bir ticaret yaptıkları için oldukça basitti. Yığının yukarısına, ticaretin borç veren fonlarını tehlikeye atıp atmadığına dair bir kontrolü atlamasına izin veren bir bayrak yerleştirildi. “
Kistner’ın bahsettiği baypas edilmiş çek, eski Google mühendisi Korantin Auguste’nin ayrıntılı kitabında bahsettiği ile aynıdır. analiz saldırının hakkında: “Saldırgan, bZx’teki bir hatayı, Uniswap’te 3 kat daha yüksek bir fiyatla büyük miktarda ticaret yapmasına neden olan bir hatadan yararlandı.”
Görünüşe göre, piyasa düşüşünün olup olmadığını doğrulamak için çok önemli bir işlev tetiklenmedi. Olsaydı, saldırganın bZx konumunu geçersiz kılarak ticareti etkisiz hale getirirdi. Bunun yerine, saldırganın engellenmeden devam etmesine izin verildi..
İkinci kısım
Dört gün sonra, 18 Şubat’ta bZx henüz kurbanı oldu bir diğeri saldırı, başka bir protokolü askıya almaya zorlar. İlkine benzer şekilde, Uniswap’ta bir pompalama ve boşaltmayı kolaylaştırmak için flaş krediler kullanıldı – bu sefer saldırgan 2,378 ETH’yi ağa bağladı..
Bu sefer saldırgan, bZx üzerinden 7,500 ETH tutarında flash kredi çıkardı ve 940,000 Synthetix USD (sUSD) karşılığında 3,517 ETH ticareti yaptı – ABD doları ile bire bir sabitlenmiş sabit bir para. Daha sonra saldırgan, Kyber ve Uniswap’ta bir tur sUSD satın almak için 900 ETH kullandı ve sUSD fiyatını piyasa oranının 2,5 katına yükseltti.
Ardından, Synthetix’ten ödünç alınan artık şişirilmiş sUSD’yi teminat olarak kullanarak, saldırgan bZx’te 6,796 ETH kredisi aldı. Yeni ödünç alınmış ETH ve orijinal krediden kalan ETH’yi kullanarak saldırgan, 7.500 ETH flash kredisini geri ödedi ve bir kez daha karını bu sefer 2.378 ETH’ye ayarladı..
Bu, bZx’i bir başka teminatlandırılmamış krediyle bıraktı. Neyse ki, bu sigorta fonu tarafından karşılandı.
Kahini suçlamak
İlk saldırının ardından yamalanan orijinal hatanın tekrarından ziyade, ikinci tur görünüşe göre oracle manipülasyonunun sonucuydu..
Oracles, harici verileri akıllı sözleşmelere besleyen blockchain tabanlı aracılardır. Bu durumda, bZx’in fiyat oracle’ı, şişirilmiş sUSD fiyatını bir doğrulama olmaksızın aktararak, bZx’in 6,769 ETH kredisinin tamamen teminatlandırıldığına inanmasına neden oldu. Bir blockchain güvenlik firması olan PeckShield’den bir analiz, özetlenmiş oracle aşağıdaki gibi istismar:
“Oracle manipülasyonu, etkilenen jetonun, yani sUSD’nin fiyatını önemli ölçüde artırıyor ve bZx kredi sisteminde son derece değerli kılıyor. Saldırgan daha sonra daha önce satın alınan veya istiflenen sUSD’yi kâr için WETH ödünç almak için teminat olarak yatırabilir (satış veya damping yerine). ”
Yin, Kyber’i (ve vekil olarak Uniswap’ı) bir fiyat oracle olarak kullanmanın, bZx’in sorun istemiş olabileceğini belirtiyor: “Protokoller, doğrudan fiyat kahinleri olarak zincir üzerindeki DEX’leri değil, yüksek kaliteli oracle’ları kullanmalıdır. Zincir dışı muhabirler tarafından desteklenen kahinler daha güvenli olacaktır. ” Ayrıca düşük likiditeli varlıkları destekleyen DEX’lere de işaret etti:
“Birçok DEX, çok likit olmayan varlıkları destekliyor. Likidite eksikliği, piyasaların çok daha kolay hareket ettirilebileceği anlamına gelir. Likiditenin iyileştirilmesi gerekiyor ki bu zamanla olacağına inanıyorum – aşılması gereken teknik ve piyasa faktörleri var. “
Düşük likidite ile birlikte volatilite, hain bir karışım olabilir. Bu durumda, piyasa düşüşü kaçınılmazdı ve saldırgan bunu biliyordu. Neyse ki, olaydan bu yana, bZx, merkezi olmayan oracle ağı Chainlink ile ortak olma kararını aldı ve fiyat verilerini kullandı..
Hack, saldırı veya meşru arbitraj?
Bazıları için bu vakalar, uzman bir arbitraj Ticaret. Ancak gerçek o kadar basit değil. Saldırgan, düşük likidite piyasalarından yararlanarak ve bariz manipülasyon taktikleri uygulayarak bZx protokollerindeki birkaç güvenlik açığını kötüye kullandı. BZx’in kurucu ortağı Kistner, Cointelegraph’a bunun kesilip kurutulan bir vaka olduğunu söyledi:
“Bu bir saldırı, çünkü kodumuzu üçüncü şahıslar için sorumluluk yaratan beklenmedik bir sonuç üretecek şekilde tasarlanmamış bir şekilde kullandı.”
Benzer bir görüşü paylaşan Auguste, ona nasıl bakarsanız bakın, bunların kötü niyetli saldırılar olduğunu savunuyor:
“Her iki durumda da, bZx kodunda kötüye kullanılan hatalar vardı, bu nedenle bunlar kesinlikle saldırılardı ve akıllıca bir arbitraj veya meşru bir şey olarak nitelendirilemezler.”
Cointelegraph ayrıca blockchain analitik firması Merkle Science’ın küresel iş geliştirme başkan yardımcısı Thomas Glucksmann ile iletişime geçti. Diğerleri gibi, Glucksmann da olayı bir hack olarak sınıflandırdı ve başka yollarla hırsızlıkla aynı ilkeleri izlediğini öne sürdü..
Bununla birlikte, özellikle 2016’daki ademi merkeziyetçi otonom organizasyon hackinden çıkarılan dersler göz önüne alındığında, tüm saldırı vektörlerinin daha erken yamalanması gerektiğini ima ederek spot ışığını bZx’e geri döndürmekte hızlı davrandı..
“Geliştiriciler, genellikle kapsamlı bir akıllı sözleşme denetim süreci sağlayarak bu tür senaryolardan kaçınabilir. Bazı ekiplerin DAO fiyaskosunun sonuçlarından hâlâ ders almamış olması ve DeFi hizmetlerinin mevcut kırılganlığını göstermesi şaşırtıcı. “
Yine de Glucksmann bZx’i tamamen iptal etmedi. Hasar kontrolü açısından, hem otopsinin hem de sigorta fonunun darbeyi yumuşatmak için uzun bir yol kat ettiğini söylüyor..
Peki ya şimdi bir bütün olarak DeFi?
Son bZx saldırısının ardından, DeFi sektörü kilitli varlıklarda önemli bir kayıp bildirdi ve 18 Şubat’taki 1.2 milyar $ ‘lık zirveden yaklaşık 140 milyon $ düştü. -up varlıklar. Analitik sitesinden alınan verilere göre, bu bozulma özellikle kayıpların yaklaşık 200.000 ETH olduğu kilitli Ether’de yaygındı. Defipulse.com.
Yine de Kistner, bu istismarları DeFi’nin ölüm çanı olarak görmüyor. Bunun yerine, bunun ekosistem gelişiminin yalnızca bir parçası olduğunu öne sürüyor:
“NASA, uzay mekiklerini fırlatmak için mükemmel kodlar yazan kişileri işe almadı. Sahip oldukları şey, kodun tüm geliştirme döngüsü boyunca yürürlükte olan titiz süreçlerdi. Bir DeFi DApp’ı fırlatmaya, uzaya bir mekiği fırlatmayı düşündüğümüz gibi davranmalıyız. “
DeFi henüz başlangıç aşamasındayken, bir zamanlar niş pazar olgunlaşmaya devam ediyor ve ana akımın ilgisini ön plana çıkarıyor. Bununla birlikte, sektör yeterli bir sanal alan olmadan çalışıyor – daha fazla hıçkırığa neden olacak bir ihmal.
İlgili: DeFi Niş Bir Pazardan Ana Finansmana Geçmeye Başladı
Glucksmann için, lansmandan önce “savaş testi” protokollerine daha fazla vurgu yapılması gerekirken, uygun düzenlemelerle ilgili tartışmaların da yapılması gerekiyor. Yani, sektörü silmek için henüz çok erken:
“Bugüne kadar, kripto alanındaki tek karlı iş modelleri madencilik, borsalar ve likidite sağlanmasıydı. Borç verme gibi DeFi hizmetleri bir sonraki olabilir. Pek çok yargı alanında DeFi’yi kapsayan bir düzenleme eksikliği, risklerin yanı sıra fırsatlar da sunar, bu nedenle DeFi hizmetlerinin kullanıcılarının şimdilik bunu kabul etmeye istekli olmaları gerekir. “
Muhtemelen, Müşterinizi Tanıyın ve Kara Para Aklamayı Önleme kontrolleri gibi durum tespiti prosedürleri, kötü aktörleri caydırmak için bir yol olabilir. DeFi’nin doğası gereği merkezi olmayan doğası göz önüne alındığında, savunucuları büyük olasılıkla tam da bu fikre isyan edeceklerdi..