Finance Redefined là bản tin tập trung vào DeFi của Cointelegraph, được gửi đến người đăng ký vào thứ Tư hàng tuần.
Vụ hack Alpha Homora và Cream Finance đã tạo được dấu ấn to lớn trong không gian DeFi tuần này.
Đây là vụ hack đơn lẻ lớn nhất trong lịch sử DeFi với số tiền bị đánh cắp là 37 triệu đô la. Nó cũng là một trong những phức tạp nhất, dường như tận dụng một số lỗ hổng trung thực với Chúa trong Alpha Homora. Một vài lần kiểm tra đầu vào bị thiếu trong các điều kiện rất đặc biệt đã cho phép tin tặc lạm dụng đặc quyền của Alpha Homora là được vay số tiền không giới hạn từ Cream Finance’s Iron Bank. Tất nhiên, các khoản vay nhanh đều có liên quan, nhưng không giống như một số vụ hack trước đây như Harvest Finance, đây dường như không phải là một vụ khai thác kinh tế thuần túy.
Tin tức về vụ hack có tác động rất tiêu cực đến giá của tất cả các giao thức liên quan đến vụ hack, bao gồm cả Aave vì một số lý do. Nhìn tổng thể hơn về DeFi Perp trên FTX, có một đỉnh rõ ràng vào ngày 13 tháng 2 khi vụ hack xảy ra.
Chỉ số FTX’s DeFi, nhờ sự hỗ trợ của TradingView.
Có lẽ một số trong số đó chỉ là hành động thị trường bình thường, nhưng nhìn chung, nó trông như thể vụ hack một tay đã đặt dấu chấm hết cho mùa DeFi, hiện tại.
Kiểm toán viên cảm thấy sức nóng
Như bất kỳ giao thức nào đạt được bất kỳ loại áp dụng đại chúng nào hiện nay, Alpha Homora đã được kiểm toán bởi Quantstamp và PeckShield, cả hai đều là những công ty có kỹ năng và đáng kính.
Tuy nhiên, các chi tiết của vụ hack khiến một số người nghi ngờ rằng đó là một công việc nội bộ, có khả năng là do ai đó tại các công ty kiểm toán này thực hiện. Nhà phát triển cốt lõi của Yearn.finance Banteg đề cập Làm thế nào mà các chi tiết của vụ hack lại rất mù mờ đến nỗi không ai có thể phát hiện ra nó chỉ bằng cách nhìn vào các hợp đồng. Đáng chú ý, pool bị hacker tấn công không được thông báo trước và không được sử dụng, đó là điều cho phép hack xảy ra ngay từ đầu.
Mặc dù không có cáo buộc công khai nào, nhưng sự việc đã kích hoạt một cuộc thảo luận khác về lý do tại sao các kiểm toán viên không bắt được lỗi, liệu họ có được khuyến khích thích đáng hay không và tình huống này có thể được giảm thiểu như thế nào..
Giải phẫu của một vụ hack phức tạp
Là một cựu thợ săn tiền thưởng lỗi, tôi thực sự tin rằng hệ sinh thái kiểm toán “phù hợp với khuyến khích” nhất có thể. Các công ty kiểm toán mạo hiểm danh tiếng của họ mỗi khi một lỗi lớn như thế này lọt qua lưới của họ. Quá đủ trong số này nhanh chóng và không ai sẽ tin tưởng vào doanh nghiệp đó nữa. Kiểm toán viên có tất cả động lực để tìm mọi thứ họ có thể, chỉ là đôi khi họ thực tế không thể làm như vậy.
Kiểm toán là một hợp đồng có thời hạn, trong đó một nhóm kỹ sư bảo mật có kinh nghiệm sẽ rà soát mã để tìm kiếm bất kỳ thứ gì có vẻ đáng ngờ. Từ khóa ở đây là “có giới hạn thời gian” và “tìm kiếm bất kỳ thứ gì”.
Tôi có thể nói từ kinh nghiệm cá nhân rằng một lỗi giống như lỗi mà chúng tôi gặp phải bây giờ không phải là thứ bạn có thể tình cờ tìm thấy bằng cách xem mã. Việc tìm ra một lỗi gồm nhiều bước, phức tạp như thế này là một quá trình lặp đi lặp lại. Nó bắt đầu với việc bạn vấp phải một điều kỳ lạ không hoạt động như bình thường. Ví dụ: một trang web quên kiểm tra xem bạn có thực sự đăng nhập khi thực hiện một tác vụ nhất định hay không. Bạn nhận lấy nó và tự hỏi bản thân, “làm thế nào tôi có thể khai thác điều này?” Bạn nảy ra ý tưởng, tìm kiếm các điểm yếu khác trên nền tảng và xem liệu bạn có thể kết hợp chúng bằng cách nào đó hay không. Hầu hết thời gian bạn không thực sự tìm thấy bất cứ điều gì và điểm yếu đó vẫn không thể khai thác được.
Nhưng với những ngày làm việc tập trung, nhiều thử nghiệm và sai sót, đôi khi bạn không tìm ra cách khai thác vấn đề ban đầu. Khi điều đó xảy ra, nó luôn là sự kết hợp của các yếu tố đơn lẻ có vẻ không liên quan, nhưng kết hợp lại với nhau, chúng phù hợp với một câu đố hóc búa.
Sự tập trung và cống hiến cần thiết để tìm ra hầu hết các lỗi dẫn đến các vụ hack lớn là điều gì đó vượt ra ngoài phạm vi của cuộc kiểm tra. Nếu họ theo đuổi từng khách hàng tiềm năng với thời gian họ có, họ sẽ lãng phí rất nhiều theo đúng nghĩa đen đến mức họ không thể tìm thấy những thứ hiển nhiên và dễ dàng khai thác. Không có nghĩa là kiểm toán viên không bao giờ tìm thấy lỗi phức tạp, nhưng thật không hợp lý khi mong đợi họ tìm ra mọi thứ. Và nếu một kiểm toán viên thực sự phát hiện ra lỗi Alpha Homora và từ chối nó, thì có những vấn đề sâu sắc hơn là các động lực kinh tế.
Cách bảo mật DeFi
Các vấn đề với kiểm toán có nghĩa là các dự án nên khởi chạy tiền thưởng lỗi để tìm ra những lỗi thực sự phức tạp. Họ không có giới hạn thời gian, có nhiều con mắt dò xét nền tảng hơn và việc trả lương dựa trên kết quả – hiệu quả hơn nhiều so với việc trả thêm giờ làm việc cho kiểm toán viên với hy vọng họ sẽ tìm thấy thứ gì đó.
Hầu hết mọi người đều hiểu sức mạnh của tiền thưởng lỗi, mặc dù tất nhiên Alpha Homora không có. Nhưng các dự án như Yearn.finance thì có, và chúng đều bị tấn công như nhau.
Đôi khi những điều này chỉ xảy ra. Crypto mang một kết hợp có vấn đề mà thực sự việc khai thác một lỗi để kiếm tiền và xử lý nó thực sự dễ dàng, trong khi cơ sở hạ tầng không giống bất cứ thứ gì khác mà các hacker từng thấy trước đây. Để bắt đầu tìm kiếm tiền thưởng trong DeFi, bạn phải là một chuyên gia tiền điện tử nghiêm túc và một lập trình viên Solidity / Vyper có kinh nghiệm – cả hai điều này không chỉ đến ngay lập tức. Đối với một hacker mũ trắng, có rất nhiều nền tảng Web2 tiêu chuẩn cung cấp tiền thưởng rất cạnh tranh, tại sao họ phải nghiên cứu DeFi?
Mọi người hiểu sai về thách thức của việc bảo mật các giao thức. Alpha Homora nói rằng bất kỳ khoản tiền thưởng nào mà họ có thể trả sẽ nhạt nhòa so với chiến lợi phẩm đang bị đe dọa. Nhưng mục tiêu không nên là trả cho tin tặc những gì họ có thể đánh cắp. Đó là một đề xuất thua cuộc. Mục đích là thu hút các hacker mũ trắng tốt bụng phân tích dự án và được trả một khoản tiền thưởng hợp pháp. Một khoản tiền thưởng ít hơn hàng triệu họ có thể nhận được bằng cách khai thác lỗi, nhưng một khoản tiền thưởng vẫn có thể là một khoản thanh toán thay đổi cuộc đời. Có thể là một cái gì đó như 50.000 đô la, 200.000 đô la, tùy thuộc vào tình hình? Đó có thể ít hơn chi phí của một cuộc kiểm toán bởi một công ty được đánh giá cao.
Trong những tin tức khác
- 1inch ra mắt một “cuộc tấn công ma cà rồng” khác trên Uniswap bằng cách airdrop các mã thông báo miễn phí cho (một số) người dùng của nó.
- Một startup khởi chạy ứng dụng lợi nhuận hỗ trợ DeFi.
- Grayscale có thể đang tìm cách thiết lập sự tin cậy của YFI. Công bằng mà nói, nhiều người khác như SushiSwap hoặc Chainlink cũng là ứng cử viên.
- Các dự án nổi bật trở lại GoodFi, một liên minh giáo dục DeFi.
- HiFi ra mắt giao thức cho vay lãi suất cố định.