T Mai-pin ang Mga Pagsasamantala sa DeFi sa mga Flash Loans, Sabi ng Mga Namumuno sa Industriya

Siyam na buwan na ang nakalilipas, sa isang sentro ng kombensiyon ng Denver, isang booth ang walang laman.

Puno ng mga token sticker, ang talahanayan ay dapat na hawakan ang mga pisikal na kinatawan ng decentralized Finance (DeFi) protocol bZx. Ito ay nanatiling walang laman, gayunpaman, habang ang koponan ay nagpupumilit na magkaroon ng kahulugan sa mga digital na puwersa na pinipilipit ang kanilang batang proyekto.

bZx, bilang sila ay darating upang malaman, ay Ang flash loan ng 2020 na "pasyente zero".

Ang mga bagong kaso ay T huminto sa mga buwan mula noon. Kunin ang Nobyembre: $2 milyon mula sa Akropolis, pagkatapos $3.3 milyon mula sa Cheese Bank, sinundan ng $6 milyon mula sa Value Finance at sa wakas $7 milyon mula sa Origin Protocol.

Ang mga flash loans ay nananatiling karaniwang thread sa lahat ng mga kamakailang pag-atake. Ang mga DeFi-native na tool na ito ay nagbibigay-daan sa isang matalinong mamumuhunan na kumuha ng hindi na-back-back na mga pautang at mag-ipon ng leverage sa likod ng isang posisyon. Halimbawa, Lunes Origin Protocol attacker nakakuha ng 70,000 ETH pautang mula sa desentralisadong derivatives platform DYDX. Binibigyang-daan nito ang umaatake na mapataas ang halaga ng pagnakawan na sinipsip mula sa proyekto.

Gayunpaman, kahit na maaaring sila ang string na nagkokonekta sa mga pagsasamantalang ito, ang mga flash loans ay hindi ang dahilan sa at ng kanilang mga sarili, sinabi ng mga pinuno ng industriya sa CoinDesk.

Pagmamanipula ng Oracle at mga flash loans

Maaaring hindi maging patas na tukuyin ang kamakailang mga pagsasamantala ng DeFi bilang "mga pag-atake ng flash loan," sinabi ng co-founder ng Chainlink na si Sergery Nazarov sa CoinDesk sa isang email.

Sinabi ni Nazarov na ang mga flash loans sa kanilang CORE ay lump sums lamang ng kapital na itinapon sa matagumpay na mga posisyon sa kalakalan. Ang tunay na isyu ay namamalagi sa hindi maganda ang pagkakagawa ng mga proyekto ng DeFi.

"Habang sinusubukan ng marami na i-frame ang trend na ito bilang resulta ng mga flash loan, karamihan sa mga pagsasamantalang ito ay maaaring ginawa ng sinumang aktor na may mahusay na capital.

Read More: Lahat ng Gusto Mong Malaman Tungkol sa DeFi 'Flash Loan' Attack

Ang mga proyekto ng DeFi ay mga matalinong kontrata na naka-deploy sa Ethereum blockchain. Nangangailangan sila ng panlabas na impormasyon, lalo na ang data ng pagpepresyo, upang magsagawa ng mga pagkilos na naka-bake sa bawat kontrata.

Ang impormasyon sa pagpepresyo ay mananagot sa mga pagbaluktot dahil lamang sa kung paano ang Ethereum blockchain ay nag-package ng mga transaksyon - iyon ay, bawat 15 segundo. Maaaring gumalaw ang mga presyo sa anumang paraan sa loob ng 15 segundo, na pumipilit sa mga matalinong kontrata na kumilos sa lipas na data.

Bukod dito, maraming DeFi application ang umaasa sa mga in-house na orakulo sa pagpepresyo na nilikha ng mga reserbang token, hindi desentralisadong mga feed sa pagpepresyo o iba pang ad hoc na solusyon. Halimbawa, sumandal ang Harvest Finance sa isa pang proyekto ng DeFi, Curve Finance, upang mapresyo ang mga token pool nito.

Sa mga kaso tulad ng Harvest Finance, ang interoperability ay naging negatibong dependency. A flash loan na nagkakahalaga ng $50 milyon lumihis ang mga presyo ng asset pansamantalang malayo sa halaga ng pamilihan, na lumilikha ng pagkakataong arbitrage. Ang isang proyekto na nagkaroon ng mas matatag na sistema ng pagpepresyo ay T magiging biktima ng pagsasamantala, ayon sa teorya.

Sapat ba ang mga pag-audit?

Ang isa pang puntong naiintindihan ng mga developer ay ang pag-audit ng code lamang ay T ginagawang ligtas ang isang proyekto ng DeFi.

Sa pakikipag-usap sa CoinDesk sa pamamagitan ng Whatsapp, sinabi ng Quantstamp CEO na si Richard Ma na kailangang maunawaan ng mga developer ang mga Markets mismo, marahil higit pa kaysa sa code na kanilang ini-deploy sa Ethereum blockchain. Ang Quantstamp ay nag-audit o nagkonsulta sa maraming nangungunang proyekto ng DeFi gaya ng Curve Finance, MakerDAO at Sushiswap, bukod sa iba pa.

"Ang pag-unawa sa mga produkto at lohika ng negosyo ay higit na nakakaubos ng oras at mahalaga kaysa sa isang direktang pagsusuri ng code," sabi ni Ma.

Sa katunayan, dalawang beses na na-audit ang Akropolis ng dalawang magkahiwalay na kumpanya, ngunit dumanas pa rin ng muling pag-atake.

Ang ganitong uri ng pag-atake ay nangyayari kapag ang backdoor ng isang matalinong kontrata ay naiwang nakaawang. Ang estado ng kontrata - na nagtatala kung gaano karaming mga token ang mayroon ang kontrata, bukod sa iba pang mga bagay - ay nabigong mag-update nang mabilis kapag inalis ang mga token, na nagpapahintulot sa umaatake na maglabas ng mas maraming barya kaysa sa okay. Hindi ito naiiba sa isang tamad na teller sa bangko na patuloy na kumukuha ng mga pondo mula sa isang overdrawn na account.

Read More: Harvest Finance: $24M Attack Trigger $570M 'Bank Run' sa Pinakabagong DeFi Exploit

Ang pagsasama-sama ng audit redundancies sa insurance ay isang hakbang na hinihimok ngayon ng hindi bababa sa ONE pangunahing Cryptocurrency investment firm.

"Inirerekomenda namin ang aming mga kumpanya ng portfolio na makakuha ng maraming pag-audit mula sa higit sa ONE provider," sabi ni Paul Veraditkitat, kasosyo sa venture capital firm na Pantera, sa isang email. "Iniisip din namin na ang mga proyekto at mamumuhunan ay maaaring gustong bumili ng seguro upang maprotektahan ang kanilang sarili."

Kapansin-pansin din na wala sa mga nangungunang proyekto ng DeFi ang dumanas ng mga pag-atake ng orakulo na udyok ng mga flash loans, sinabi ng tagapagtatag ng DYDX na si Antonio Juliano sa CoinDesk sa isang mensahe. Maraming mga flash loan na ginamit sa mga pag-atake ay nagmula sa kanyang platform, na nag-aalok ng produkto nang walang bayad.

Sinabi niya na "may malaking divide sa pagitan ng mga well-engineered na proyekto at iba pa;" isang divide na fleshed out sa real time sa pamamagitan ng flash loan.

"Sa parehong paraan T mo masisisi ang Ethereum para sa isang detalye ng pagpapatupad ng chain na ginagamit para sa isang pag-atake, ang paraan ng paggamit ng mga flash loans sa mga pagsasamantala ay kasalanan ng mga developer na gumagawa ng mga hindi secure na application, hindi ang mga flash loans mismo," sabi ni Juliano.