08:00 08-05-2020 70 lượt xem

DeFi gần đây, những trở ngại tốn kém Serve như bài học cho ngành

 DeFi gần đây, những trở ngại tốn kém Serve như bài học cho ngành

Sau một sự trỗi dậy của thiên thạch, DeFi đã phải chịu một số thất bại trong hồ sơ cao. Câu hỏi không phải là về việc liệu nó sẽ phục hồi, nhưng những gì cần phải được thực hiện để đảm bảo phục hồi.

"Hack" của DAO chạy sâu vào bộ nhớ chung của cộng đồng cryptocurrency. Sau một cuộc giao dịch huy quỹ vô cùng thành công vào tháng 2016, DAO kéo dài ít hơn một tháng trước khi kẻ bắt đầu rút tiền từ hợp đồng thông minh, chiếm khoảng $70.000.000 giá trị của Ether (ETH).  

Tuy nhiên, như một số chỉ ra vào thời gian đó, sự cố DAO không phải là một hack ở tất cả. Kẻ tấn công chỉ đơn giản khai thác một lỗ hổng trong mã hợp đồng thông minh cơ bản để làm cho nó cư xử theo một cách mà các lập trình viên không mong đợi. Tuy nhiên, sự cố / cộng đồng Ethereum sau khi quyết định thực hiện một Fork cứng sẽ trả lại tiền.

Nhanh chóng chuyển tiếp đến đầu 2020, và đã có hơn $1.000.000.000 giá trị của crypto gắn lên trong tài chính phi tập trung. Đó là $1.000.000.000 dưới sự quản lý của hợp đồng thông minh. Vì vậy, trong ánh sáng của lịch sử, nó có lẽ là không thể tránh khỏi rằng một ai đó cuối cùng sẽ tìm cách làm cho các ứng dụng này thực hiện một cách mà không ai có dự đoán. Lần đầu tiên đến vào tháng 2 năm 2020, với hai cuộc tấn công riêng biệt trên nền tảng giao dịch phân cấp bZx. Gần đây, một hacker thực hiện với $25.000.000 từ nền tảng cho vay Trung Quốc Lendf.me, điều hành bởi dForce.  

Ngay cả khi tin tặc không liên quan, các ứng dụng DeFi đã hiển thị các lỗ hổng khác. Trong thời gian crypto "Black Thursday" vào giữa tháng 3, MakerDAO thanh lý hơn $4.000.000 giá trị của các khoản vay như giá ETH sụt giảm. Vụ tai nạn kết quả là một cuộc bỏ phiếu quản trị nhanh chóng và đấu giá nợ để khắc phục thiệt hại.  

Phần lớn các bình luận đã tập trung vào việc có hay không DeFi có thể phục hồi từ những thất bại. Dựa trên lịch sử của sự cố DAO, có vẻ như không thể tránh khỏi rằng DeFi sẽ làm cho một phục hồi. Có lẽ câu hỏi thích hợp hơn là, những gì có thể DeFi DApp nhà khai thác tìm hiểu từ những sự cố như vậy để giúp tránh chúng xảy ra trong tương lai?

Dễ dàng Winnings từ dForce


sự cố gần đây nhất liên quan đến việc hack Lendf.me cung cấp một số thắng dễ dàng. Nền tảng này là lớn nhất của Trung Quốc cho vay DApp. Tuy nhiên, nó chỉ ra rằng các hack đã được thực hiện như là kết quả của dForce có mã sao chép từ một phiên bản trước của Compound, một ứng dụng cho vay phi tập trung. Mã cũ của Compound đã không thể bảo vệ chống lại các loại tấn công được gọi là "relối" đặc biệt cho ERC-777 token.  

Do vấn đề này, hợp chất không hỗ trợ ERC-777 token. Tuy nhiên, có vẻ như là khi dForce sao chép mã, nó không thực sự hiểu lỗ hổng này, vì nó đã không đặt các biện pháp tương tự tại chỗ, cho phép ERC-777 token được sử dụng trên Lendf.me. Do đó, kẻ tấn công khai thác lỗ hổng bảo mật, sử dụng mã thông báo ERC-777 imBTC để thoát $25.000.000 từ nền tảng.  

Các hacker đã kể từ ngày trả lại tiền, nhưng điều này là khó có một phòng thủ trong chính nó. Theo báo cáo của Cointelegraph, dForce đã phải đối mặt với những lời chỉ trích vì không thực hiện đủ biện pháp để ngăn chặn một cuộc tấn công như vậy. Vì vậy, nếu giả định rằng dForce chỉ đơn giản là không biết về vấn đề này, làm thế nào họ có thể tránh được nó? Alex Melikhov, CEO và là người đồng sáng lập — phát hành cân bằng của EOS-based EOSDT — là một fan hâm mộ lớn của ý tưởng đánh giá ngang nhau. Ông nói với Cointelegraph rằng một "mã đánh giá bởi một bên thứ ba có thể đã ngăn chặn sự cố," thêm:

"Một khía cạnh quan trọng ở đây là xây dựng một khung thử nghiệm và kiểm toán mã. Các nguyên tắc bốn mắt là hoàn toàn áp dụng để phát triển mã và chắc chắn mitigates rủi ro lỗ hổng. Mặc dù dForce của quan hệ đối tác với PeckShield (người đã công khai kiểm toán USDx và Yield tăng cường giao thức), nó có vẻ như kiểm toán viên đã không kiểm tra mã của giao thức cho vay của nó LendfMe. "

Dan Schatt, giám đốc điều hành và đồng sáng lập của nền tảng cho vay tập trung cred, đồng ý, thậm chí còn gợi ý rằng cộng đoàn có thể đóng một vai trò ở đây. Ông nói với Cointelegraph, "lỗi bounties có thể giúp khuyến khích cộng đồng để tìm kiếm các loại lỗ hổng có thể dẫn đến các cuộc tấn công và khai thác các loại lỗ hổng."

Vào thời điểm xuất bản, dForce đã xác nhận rằng 100% người dùng bị ảnh hưởng bởi cuộc tấn công đã được hoàn trả lại qua nỗ lực tái phân phối tài sản của nó. Về phần mình, dForce đã đáp ứng yêu cầu của Cointelegraph để nhận xét. Mindao Yang, người sáng lập dForce, nói rằng khi phản ánh:  

"Một cuộc tấn công tương tự đã diễn ra trên Uniswap/imBTC bơi hack trước sự cố [Lendf.me]. Các lỗ hổng Uniswap, liên quan đến các mã thông báo ERC777, đã được biết đến từ cuối năm 2018, nhưng sự kết hợp của ERC777 token và các hợp chất v1 mã giới thiệu một bề mặt tấn công vào lại chỉ đến sự chú ý của chúng tôi sau khi sự cố. Chúng tôi có thể có được nhiều cảnh báo khi uniswap/imbtc bơi hack đã xảy ra và có thể đã được cẩn thận hơn khi bộ nhớ ngoài tài sản mới. "

Yang tiếp tục nói rằng nền tảng này có kế hoạch để tránh các cuộc tấn công tương tự, và sẽ trên một số chuyên gia bên ngoài trong tương lai:

"Chúng tôi sẽ tham gia tốt nhất-trong-lớp, tư vấn bảo mật của bên thứ ba để hỗ trợ với một kiểm toán đầy đủ và để giúp chúng tôi củng cố thực tiễn bảo mật trong tương lai của chúng tôi. Chúng tôi sẽ tìm thấy một thời gian phù hợp để redeploy một giao thức thị trường tiền phân cấp mới và các giao thức khác. Tiếp tục, với sự giúp đỡ của họ, chúng tôi sẽ giới thiệu một quá trình tích hợp chặt chẽ, được kiểm toán khi giới thiệu tài sản vào hệ sinh thái dForce. "

Người phát ngôn đã xác nhận rằng chi tiết hơn nữa của các hành động thực hiện trong lĩnh vực này sẽ được / sẻ trong một bài đăng blog trong tương lai.  

Bzx — một vấn đề phức tạp hơn


trước khi sự cố dforce gần đây, nền tảng giao dịch DEFI bZx đã bị trúng hai lần trong không gian của một tuần. Các cuộc tấn công này ít bị lỗi mã hơn là chưa trưởng thành và thanh khoản tương đối thấp của không gian cryptocurrency tổng thể. Các dẫn xuất trao đổi — liệu tập trung hoặc phân cấp — dựa vào Oracles giá. Đây là những thường được lấy từ các thị trường tại chỗ, sử dụng một mức giá trung bình từ nhiều trao đổi.  

Trong trường hợp của nền tảng DeFi, các nguồn cấp dữ liệu giá đến từ trao đổi phi tập trung như Uniswap và Kyber. Vấn đề là do một số thẻ có thanh khoản thấp trên các nền tảng này, nó tương đối dễ dàng để thao tác giá cả.  

Liên quan: có phải các BZx Flash Loan tấn công tín hiệu kết thúc của DeFi?

BZx xử lý tốt sự cố, bao gồm $900.000 thiệt hại của người dùng từ một quỹ bảo hiểm. Deribit nhà nghiên cứu su Zhu và Hasu trước đây đã giải thích như thế nào Oracles giá là dễ bị tổn thương để thao tác ngay cả trên các sàn giao dịch tập trung như BitMEX. Trong DeFi, nơi trao đổi phi tập trung được dựa vào cho dữ liệu Oracle giá, người ta có thể nói rằng tai nạn này là trên thẻ.  

Tuy nhiên, nó trình bày một conundrum hấp dẫn — cách duy chỉ để giải quyết những thách thức là để mang lại nhiều người dùng hơn để tiêm thanh khoản vào DEXs để giảm thiểu các lỗ hổng để thao tác. Tuy nhiên, miễn là có một rủi ro mà các quỹ có thể được thoát nước, DeFi sẽ đấu tranh để thu hút người dùng.  

Các lỗ hổng chính


cuối cùng, chuyển sang các sự kiện gần đây thứ năm đen, gây ra khối lượng liquidations trên makerdao: càng nhiều càng tai nạn giá là hoàn toàn ngoài tầm kiểm soát của Maker, có bất kỳ bài học có thể được lấy đi từ nó?

Vụ tai nạn Tháng ba và sau đó liquidations dẫn đến một cuộc bỏ phiếu để thay đổi các thông số đấu giá của Maker và giới thiệu USDC, một loại tài sản thế chấp không liên quan với thị trường crypto. DeFi dekéo sẽ không có nghi ngờ scoff tại irony của một crypto-backed stablecoin cần được collateralized bởi một tương đương tập trung.  

Tuy nhiên, có lẽ giới thiệu của Maker của USDC cho thấy một sự trưởng thành nhất định trong sự công nhận của cộng đồng rằng tuổi trẻ của thị trường DeFi có nghĩa là nó cần phải làm theo các ví dụ của nó tương đối ổn định, tập trung cho đến khi nó có thể đứng trên hai chân của riêng mình. Sau khi tất cả, người sáng lập nhà sản xuất rune Christensen gần đây đã nói với cointelegraph trong một cuộc phỏng vấn rằng ông tin rằng DEFI cuối cùng sẽ hợp nhất với cefi, minh họa rằng có lẽ sử dụng của Maker USDC là một dự báo sớm của di chuyển này.  

Có nhấn mốc $1.000.000.000 năm nay, đó là một câu hỏi khi (thay vì nếu) DeFi sẽ phục hồi từ những thất bại và đòi lại số đó một lần nữa. Tuy nhiên, thực tế là những thất bại đã diễn ra ở tất cả các minh hoạ rằng DeFi sáng lập không nên tập trung vào cách xa các khu vực đã đến, mà là như thế nào đến nay nó vẫn phải đi. Bằng cách học hỏi từ những sự cố gần đây, có một cơ hội phục hồi nhanh hơn.


THEO DÕI CHÚNG TÔI TRÊN: FACEBOOK | TELEGRAM | TWITTER | YOUTUBE
Từ khóa:
Bài viết liên quan