Лідери галузі кажуть, що експлойти DeFi T можна прив’язати до флеш-кредитів

Дев'ять місяців тому в конференц-центрі Денвера стенд стояв порожній.

Усіяний наклейками токенів стіл мав містити фізичних представників протоколу децентралізованих Фінанси (DeFi) bZx. Однак він залишився порожнім, оскільки команда намагалася зрозуміти цифрові сили, які крутять їхній молодий проект.

bZx, як вони прийшли, щоб дізнатися, був Флеш-кредит у 2020 році "нульовий пацієнт".

Нові випадки T припинялися протягом місяців з тих пір. Візьміть листопад: 2 мільйони доларів від Akropolis, тоді 3,3 мільйона доларів від Cheese Bank, а потім 6 мільйонів доларів від Value Фінанси і нарешті 7 мільйонів доларів від Origin Protocol.

Миттєві кредити залишаються червоною ниткою всіх цих недавніх атак. Ці власні інструменти DeFi дозволяють кмітливому інвестору брати незабезпечені позики та накопичувати кредитне плече за позицією. Наприклад, понеділок Зловмисник Origin Protocol витягнув 70 тис ETH позика від децентралізованої платформи деривативів DYDX. Це дозволяло зловмиснику збільшити кількість здобичі, висмоктаної з проекту.

Проте, хоча вони можуть бути ланцюгом, що з’єднує ці експлойти, флеш-кредити не є причиною самі по собі, сказали CoinDesk лідери галузі.

Маніпуляція Oracle і флеш-кредити

Можливо, було б навіть несправедливо характеризувати нещодавні експлойти DeFi як «атаки на флеш-позики», — повідомив CoinDesk співзасновник Chainlink Сергій Назаров в електронному листі.

Назаров сказав, що швидкі кредити за своєю CORE є лише одноразовими сумами капіталу, викинутими на успішні торгові позиції. Справжня проблема полягає в погано побудованих проектах DeFi.

"Хоча багато хто намагається сформулювати цю тенденцію як результат миттєвих позик, більшість із цих подвигів міг бути здійснений будь-яким добре капіталізованим актором. Усе, що робить миттєва позика, — це тимчасово зробити будь-кого добре капіталізованим актором", — сказав Назаров.

Читайте також: Усе, що ви хотіли знати про атаку DeFi на «миттєву позику».

Проекти DeFi — це розумні контракти, розгорнуті в блокчейні Ethereum . Їм потрібна зовнішня інформація, а саме дані про ціни, щоб виконувати дії, закладені в кожному контракті.

Ця інформація про ціни може бути спотворена просто через те, як блокчейн Ethereum пакетує транзакції – тобто кожні 15 секунд. Ціни можуть змінюватись у будь-який бік за 15 секунд, що змушує смарт-контракти діяти на основі застарілих даних.

Крім того, багато програм DeFi покладаються на внутрішні оракули ціноутворення, створені за допомогою резервів токенів, недецентралізованих каналів ціноутворення або інших спеціальних рішень. Наприклад, Harvest Finance спиралася на інший проект DeFi, Curve Фінанси, щоб визначити ціну своїх пулів токенів.

У таких випадках, як Harvest Finance, сумісність стала негативною залежністю. А терміновий кредит на 50 мільйонів доларів тимчасово відхилив ціни активів від ринкової вартості, створюючи можливість арбітражу. Теорія стверджує, що проект із більш надійною системою ціноутворення T став би жертвою експлойту.

Чи достатньо перевірок?

Інший момент, з яким починають стикатися розробники, полягає в тому, що сам по собі аудит коду T робить проект DeFi безпечним.

Розмовляючи з CoinDesk через Whatsapp, генеральний директор Quantstamp Річард Ма сказав, що розробники повинні самі розуміти Ринки , можливо, більше, ніж код, який вони розгортають у блокчейні Ethereum . Quantstamp провела аудит чи консультацію щодо багатьох найкращих проектів DeFi, таких як Curve Фінанси, MakerDAO та Sushiswap, серед інших.

«Розуміння продуктів і бізнес-логіки займає набагато більше часу та є важливим, ніж прямий аналіз коду», — сказав Ма.

Справді, Akropolis двічі перевіряли дві різні фірми, але все одно зазнали повторної атаки.

Така атака відбувається, коли бекдор смарт-контракту залишається відкритим. Стан контракту, який, серед іншого, фіксує, скільки токенів у контракті, не оновлюється досить швидко, коли токени видаляються, що дозволяє зловмиснику перемістити більше монет, ніж допустимо. Це схоже на лінивого банківського касира, який продовжує розщедритися на кошти з овердрафтового рахунку.

Читайте також: Harvest Finance: атака на 24 мільйони доларів США спричинила «втечу з банків» на 570 мільйонів доларів США в останньому експлойті DeFi

Поєднання надлишкових аудитів із страхуванням є кроком, до якого зараз закликає принаймні ONE велика інвестиційна компанія Криптовалюта .

«Ми рекомендуємо нашим портфельним компаніям проходити численні аудити від ONE постачальників», — сказав Пол Верадітакіт, партнер компанії венчурного капіталу Pantera, в електронному листі. «Ми також вважаємо, що проекти та інвестори можуть захотіти придбати страховку, щоб захистити себе».

Також примітно, що жоден із найкращих проектів DeFi не зазнав атак оракулів, викликаних флеш-позиками, повідомив засновник DYDX Антоніо Джуліано CoinDesk у повідомленні. Багато миттєвих кредитів, які використовуються в атаках, виникли на його платформі, яка пропонує продукт без комісії.

Він сказав, що «існує велика різниця між добре розробленими проектами та іншими». розрив, який у реальному часі уточнюється завдяки швидким позикам.

«Так само, як ви T звинувачуєте Ethereum за деталі реалізації ланцюга, який використовується для атаки, те, як флеш-позики використовуються в експлойтах, є провиною розробників, які створюють небезпечні програми, а не самі флеш-позики», — сказав Джуліано.