$600M POLY Heist Shows DeFi Needs Hackers to Be Unhackable

Ang malamang na may kasalanan ng ONE sa pinakamalaking Crypto heists ay ginawa ito para sa "katuwaan." Noong Martes, isang hindi kilalang hacker o grupo ang nagnakaw ng humigit-kumulang $600 milyon na halaga ng Crypto mula sa POLY Network, tila para maturuan ng leksyon ang multi-chain platform (iyan ang sinabi nila sa isang Q&A tungkol sa kanilang mga motibasyon at plano).

Natukoy nila ang isang bug - o sa halip, isang bahagi ng code na nagbigay-daan sa kanila na maglipat ng pera sa kanilang sarili - at kumilos dito. T nilayon ng mga developer na maglagay ng "libreng pera" na buton, ngunit nandoon ito na handang pagsamantalahan. And praise be it was: ONE pang pagkakamali na (sana) ay T na maulit.

Ang artikulong ito ay hinango mula sa The Node, ang pang-araw-araw na pag-iipon ng CoinDesk ng mga pinakamahalagang kwento sa blockchain at Crypto news. Maaari kang mag-subscribe upang makuha ang buonewsletter dito.

"Hindi ako masyadong interesado sa pera! Alam kong masakit kapag inaatake ang mga tao, pero T ba dapat may Learn sila sa mga pag-atakeng iyon?" ang mapagsamantala ay nag-post noong Miyerkules sa Ethereum blockchain data. Sa oras ng press, humigit-kumulang kalahati ng mga ninakaw na pondo ang naibalik.

Hindi ko talaga lugar para sabihin kung sila nga tunay isang hacker na "white hat" o isang itim na sumbrero na napagtanto na imposibleng ma-cash out. Para sa kung ano ang halaga nito, Tor Ekeland, isang abogado na nagtayo ng karera mula sa pagtatanggol sa mga malikot sa kompyuter, ay nagsabi: “Ang pag-hack ay kadalasang higit na tungkol sa kilig ng hack kaysa sa anumang bagay na nakuha sa hack.”

Ang mga pag-hack at pagsasamantala ay karaniwan sa lumalaking, multi-bilyong dolyar na decentralized Finance (DeFi) ecosystem, kung saan bahagi ang POLY Network. Kadalasan ang resulta ng mga script na mabilis na idinisenyo o mas malalim na mga depekto sa antas ng protocol, ang mga pag-atake ay isa ring mahalagang bahagi kung paano nagiging mas secure ang anumang computer network. Dobleng totoo iyon sa mundo ng blockchain.

Sa katunayan, sasabihin ng ilan na ang mga hack ay humahantong sa hindi na-hack na code. Ito ay isang kontrobersyal na punto, lalo na dahil ang mga hacker ay T palaging nagbabalik ng mga ninakaw na pondo, at walang alinlangan na ang mga tao ay nasaktan sa proseso.

Read More: Isang Pangingikil ang Naging Masama: Sa Loob ng mga Negosasyon ng Binance Sa 'KYC Leaker' Nito

"Sa mundo ng blockchain, kapag ang isang tao ay nag-deploy ng isang matalinong kontrata - tulad ng sa Ethereum - na may kahinaan, daan-daang milyong dolyar ang nawawala sa magdamag at walang recourse," ang maalamat na dating Google computer scientist at tagapagtatag ng Agoric, Mark Miller, sinabi sa isang Foresight Institute conference sa 2018. "Mayroong napakalaking bug bountie, epektibo. At kapag ang ONE sa mga bagay na ito ay nakolekta, ang software na may ganitong mga kahinaan ay namatay."

Sa madaling salita, ang mga sistemang nakabatay sa blockchain ay nahaharap sa evolutionary pressure. Ang mga mahihinang proyekto ay nahaharap sa "isang maagang pagkamatay" kaya ang buong system ay napuno ng secure na code.

Ang Technology ng Blockchain ay umiikot lamang sa loob ng mahigit isang dekada. Ang DeFi, tulad ng alam natin, ay mas bata pa. May isang kaso na dapat gawin na tayo ay nasa simula pa lamang na mga yugto ng pag-aampon, na may mas maraming pagkakamali na malamang sa daan.

Ang mga hack ay T lamang ang paraan para umunlad ang mga proyekto o protocol. Ang mga tao ay maaaring bumuo ng mga simpleng bagay nang dahan-dahan, tulad ng sa kaso ng Bitcoin, na dalawang beses lang bumaba sa loob ng 12-taong habang-buhay nito. May mga panlabas na pag-audit at isang potensyal na papel na gagampanan ng mga gumagawa ng patakaran o mga regulator ng gobyerno.

Ngunit ang paghahanap ng mga kapintasan sa isang codebase o paghahanap ng mga mapagsamantala pagkatapos ng katotohanan ay tulad ng "panghuli ng mga lobo," Zooko Wilcox-O'Hearn, computer security specialist at brainchild sa likod ng Zcash, sinabi sa isang direktang mensahe, na humiram ng isang linya mula kay Vitalik Buterin.

Dapat alam niya. Noong 2015, ang kanyang kumpanya sa pag-audit, ang Least Authority, ay tinanggap ng isang grupo ng mga dev para gumawa ng security audit ng malapit nang ilunsad na Ethereum network. Marami sa mga kahinaan nila natagpuan ay naayos, ngunit hindi ang may kinalaman sa "reentrancy," na nagbigay-daan sa mga tao na mag-deploy ng mga matalinong kontrata na maaaring pagsamantalahan.

Makalipas ang ilang taon, ang parehong kahinaan ay pinagsamantalahan sa "Ang DAO hack, "isang $55 milyon na sakit ng ulo na humantong sa kontrobersyal na paghahalo sa pagitan ng Ethereum at Ethereum Classic. Sa oras na inihain nito ang ulat nito, nagbigay pa nga ang Least Authority ng hypothetical na halimbawa ng isang matalinong kontrata na maaaring mapagsamantalahan: isang smart contract na nagpopondo ng karamihan, tulad ng The DAO.

Read More: Ang $55M Hack na Halos Nagdala ng Ethereum | Matthew Leising

Habang mas maraming pera ang nakatambak sa mga matalinong kontrata, magiging mas mahirap at mas mahirap na "manghuli ng mga lobo" o mga indibidwal na mapagsamantala. Sa pamamagitan ng mga hack, Learn ang buong komunidad kung ano ang dapat at hindi dapat ulitin. Sa paglipas ng panahon, humahantong ito sa mas "maaasahang" code. Ito ay ONE paraan para “pagsamantalahan ang mga tupa.”

"Kung tayo bilang mga tao ay aasa sa mga computer na gumawa ng mahahalagang bagay para sa atin — at tayo nga! - kung gayon, talagang hinihiling natin ang mga programang iyon na hindi ma-hack. At sa kabila ng pangungutya at kawalan ng pag-asa sa mga kapwa ko eksperto sa seguridad, ito ay talagang makakamit!" sabi ni Wilcox.

"Para sa bawat programa tulad ng The DAO at POLY na pinagsamantalahan dahil mayroon itong kahinaan, maaari kang tumuro sa isa pang programa na ginawa ang parehong bagay ngunit walang ganoong kahinaan. Kaya posible ang pag-unlad!"

I-UPDATE (Ago. 12, 2021, 18:35 UTC): Itinama ang pangalan ni Agoric. Ikinalulungkot namin ang pagkakamali.