Gli exploit DeFi T possono essere attribuiti ai prestiti flash, affermano i leader del settore

Nove mesi fa, in un centro congressi di Denver, c'era uno stand vuoto.

Cosparso di adesivi token, il tavolo avrebbe dovuto contenere i rappresentanti fisici del protocollo di Finanza decentralizzata (DeFi) bZx. Tuttavia, è rimasto vuoto, mentre il team si sforzava di dare un senso alle forze digitali che stavano distorcendo il loro giovane progetto.

bZx, come avrebbero scoperto, eraPrestito flash "paziente zero" del 2020.

I nuovi casi T si sono fermati nei mesi successivi. Prendiamo novembre: 2 milioni di dollari da Akropolis, Poi 3,3 milioni di dollari da Cheese Bank, seguito da6 milioni di dollari da Value Finanzae infine7 milioni di dollari dal Origin Protocol.

I prestiti flash rimangono il filo conduttore di tutti questi recenti attacchi. Questi strumenti nativi DeFi consentono a un investitore esperto di ottenere prestiti non garantiti e accumulare leva finanziaria dietro una posizione. Ad esempio, lunedìAttaccante Origin Protocolha tirato un 70.000ETH prestito dalla piattaforma di derivati ​​decentralizzata DYDX. Ha permesso all'attaccante di aumentare la quantità di bottino risucchiato dal progetto.

Tuttavia, sebbene possano essere il filo conduttore di questi exploit, i prestiti flash non ne sono di per sé la causa, hanno affermato i leader del settore a CoinDesk.

Manipolazione dell'oracolo e prestiti flash

Forse non è nemmeno corretto definire i recenti exploit DeFi come "attacchi di prestito flash", ha dichiarato a CoinDesk in un'e-mail il co-fondatore Chainlink , Sergery Nazarov.

Nazarov ha detto che i prestiti flash sono in CORE solo somme forfettarie di capitale investite in posizioni di trading di successo. Il vero problema risiede nei progetti DeFi mal costruiti.

"Mentre molti cercano di inquadrare questa tendenza come il risultato di prestiti flash, la maggior parte di questi exploit avrebbe potuto essere commessa da qualsiasi attore ben capitalizzato. Tutto ciò che fa un prestito flash è rendere temporaneamente chiunque un attore ben capitalizzato", ha detto Nazarov.

Continua a leggere: Tutto quello che hai sempre voluto sapere sull'attacco DeFi "Flash Loan"

I progetti DeFi sono smart contract distribuiti sulla blockchain Ethereum . Richiedono informazioni esterne, ovvero dati sui prezzi, per eseguire azioni integrate in ogni contratto.

Tali informazioni sui prezzi sono soggette a distorsioni semplicemente a causa del modo in cui la blockchain Ethereum confeziona le transazioni, ovvero ogni 15 secondi. I prezzi possono muoversi in ogni direzione in 15 secondi, il che costringe gli smart contract ad agire su dati obsoleti.

Inoltre, molte applicazioni DeFi si basano su oracoli di pricing interni creati da riserve di token, feed di pricing non decentralizzati o altre soluzioni ad hoc. Ad esempio, Harvest Finance si è appoggiata a un altro progetto DeFi, Curve Finanza, per stabilire il prezzo dei suoi pool di token.

In casi come Harvest Finance, l'interoperabilità è diventata una dipendenza negativa. prestito flash del valore di 50 milioni di dollari deviato temporaneamente i prezzi degli asset dal valore di mercato, creando un'opportunità di arbitraggio. Un progetto che avesse un sistema di prezzi più solido T sarebbe caduto preda dell'exploit, secondo la teoria.

Sono sufficienti i controlli?

Un altro punto con cui gli sviluppatori stanno prendendo atto è che i soli audit del codice non T a rendere sicuro un progetto DeFi.

Parlando con CoinDesk tramite Whatsapp, il CEO Quantstamp Richard Ma ha affermato che gli sviluppatori devono comprendere i Mercati stessi, forse più del codice che distribuiscono sulla blockchain Ethereum . Quantstamp ha eseguito audit o svolto consulenze su più progetti DeFi di alto livello come Curve Finanza, MakerDAO e Sushiswap, tra gli altri.

"Comprendere i prodotti e la logica aziendale è molto più dispendioso in termini di tempo ed è molto più importante di una semplice revisione del codice", ha affermato Ma.

In effetti, Akropolis è stata sottoposta a verifica due volte da due società distinte, ma ha comunque subito un attacco di re-entrancy.

Questo tipo di attacco si verifica quando la backdoor di uno smart contract viene lasciata socchiusa. Lo stato del contratto, che registra quanti token ha il contratto, tra le altre cose, non si aggiorna abbastanza rapidamente quando i token vengono rimossi, consentendo all'attaccante di spostare più monete del dovuto. Non è molto diverso da un pigro cassiere di banca che continua a sborsare fondi da un conto scoperto.

Continua a leggere: Harvest Finance: un attacco da 24 milioni di dollari innesca una "corsa agli sportelli" da 570 milioni di dollari nell'ultimo exploit DeFi

L'integrazione dei licenziamenti per revisione contabile con l'assicurazione è un passo che almeno ONE delle principali società di investimento in Criptovaluta sta ora sollecitando.

"Stiamo consigliando alle nostre società di portafoglio di ottenere più audit da più di ONE fornitore", ha affermato Paul Veradittakit, partner della società di venture capital Pantera, in un'e-mail. "Riteniamo inoltre che i progetti e gli investitori potrebbero voler acquistare un'assicurazione per proteggersi".

È anche degno di nota che nessuno dei principali progetti DeFi abbia subito attacchi Oracle stimolati da prestiti flash, ha detto il fondatore DYDX Antonio Juliano a CoinDesk in un messaggio. Molti prestiti flash utilizzati negli attacchi hanno avuto origine sulla sua piattaforma, che offre il prodotto senza commissioni.

Ha affermato che “esiste un grande divario tra i progetti ben progettati e gli altri”, un divario che si sta concretizzando in tempo reale grazie ai prestiti flash.

"Allo stesso modo in cui T si biasimerebbe Ethereum per un dettaglio di implementazione della catena utilizzato per un attacco, il modo in cui i prestiti flash vengono utilizzati negli exploit è colpa degli sviluppatori che creano applicazioni non sicure, non dei prestiti flash stessi", ha affermato Juliano.