Exploits DeFi T podem ser atribuídos a empréstimos rápidos, dizem líderes do setor

Nove meses atrás, em um centro de convenções de Denver, um estande estava vazio.

Repleta de adesivos de token, a mesa deveria conter os representantes físicos do protocolo de Finanças descentralizadas (DeFi) bZx. No entanto, ela permaneceu vazia, enquanto a equipe lutava para entender as forças digitais distorcendo seu jovem projeto.

bZx, como eles viriam a descobrir, eraEmpréstimo rápido “paciente zero” de 2020.

Novos casos T pararam nos meses desde então. Veja novembro: US$ 2 milhões da Akropolis, então US$ 3,3 milhões do Cheese Bank, seguido pela US$ 6 milhões da Value Finançase finalmenteUS$ 7 milhões do Origin Protocol.

Os empréstimos rápidos continuam sendo o fio condutor de todos esses ataques recentes. Essas ferramentas nativas do DeFi permitem que um investidor experiente faça empréstimos sem lastro e acumule alavancagem por trás de uma posição. Por exemplo, a segunda-feiraAtacante do Origin Protocolpuxou 70.000ETH empréstimo da plataforma de derivativos descentralizada DYDX. Permitiu que o invasor aumentasse a quantidade de saque sugado do projeto.

No entanto, embora possam ser a ligação entre essas explorações, os empréstimos rápidos não são a causa em si, disseram líderes do setor ao CoinDesk.

Manipulação de Oracle e empréstimos rápidos

Pode nem ser justo caracterizar as recentes explorações de DeFi como "ataques de empréstimo rápido", disse o cofundador da Chainlink, Sergery Nazarov, ao CoinDesk em um e-mail.

Nazarov disse que os empréstimos rápidos, em sua CORE, são apenas somas fixas de capital jogadas em posições de negociação bem-sucedidas. O problema real está nos projetos DeFi mal construídos.

“Enquanto muitos tentam enquadrar essa tendência como resultado de empréstimos rápidos, a maioria dessas façanhas poderia ter sido cometida por qualquer ator bem capitalizado. Tudo o que um empréstimo rápido faz é temporariamente tornar qualquer um um ator bem capitalizado”, disse Nazarov.

Leia Mais: Tudo o que você sempre quis saber sobre o ataque 'Flash Loan' do DeFi

Os projetos DeFi são contratos inteligentes implantados no blockchain Ethereum . Eles exigem informações externas, ou seja, dados de preços, para executar ações incorporadas em cada contrato.

Essas informações de preços são passíveis de distorções simplesmente por causa de como o blockchain Ethereum empacota transações – ou seja, a cada 15 segundos. Os preços podem se mover para todos os lados em 15 segundos, o que força os contratos inteligentes a agirem em dados obsoletos.

Além disso, muitas aplicações DeFi dependem de oráculos de preços internos criados por reservas de tokens, feeds de preços não descentralizados ou outras soluções ad hoc. Por exemplo, a Harvest Finance se apoiou em outro projeto DeFi, o Curve Finanças, para precificar seus pools de tokens.

Em casos como o Harvest Finance, a interoperabilidade tornou-se uma dependência negativa. empréstimo rápido no valor de $ 50 milhões desviou temporariamente os preços dos ativos do valor de mercado, criando uma oportunidade de arbitragem. Um projeto que tivesse um sistema de preços mais robusto T teria sido vítima da exploração, diz a teoria.

As auditorias são suficientes?

Outro ponto que os desenvolvedores estão enfrentando é que as auditorias de código por si só T tornam um projeto DeFi seguro.

Falando com a CoinDesk via Whatsapp, o CEO da Quantstamp , Richard Ma, disse que os desenvolvedores precisam entender os Mercados em si, talvez mais do que o código que eles implantam no blockchain Ethereum . A Quantstamp auditou ou consultou vários projetos DeFi importantes, como Curve Finanças, MakerDAO e Sushiswap, entre outros.

“Entender os produtos e a lógica de negócios consome muito mais tempo e é muito mais importante do que uma revisão de código direta”, disse Ma.

De fato, a Akropolis foi auditada duas vezes por duas empresas diferentes, mas ainda assim sofreu um ataque de reentrada.

Esse tipo de ataque ocorre quando a porta dos fundos de um contrato inteligente é deixada entreaberta. O estado do contrato — que registra quantos tokens o contrato tem, entre outras coisas — falha em atualizar rápido o suficiente quando os tokens são removidos, permitindo que o invasor mova mais moedas do que o permitido. Não é diferente de um caixa de banco preguiçoso que continua a desembolsar fundos de uma conta com saldo negativo.

Leia Mais: Harvest Finance: Ataque de US$ 24 milhões desencadeia 'corrida bancária' de US$ 570 milhões na mais recente exploração de DeFi

Combinar redundâncias de auditoria com seguro é uma medida que pelo menos uma grande empresa de investimento em Criptomoeda está recomendando.

“Estamos recomendando que nossas empresas de portfólio obtenham várias auditorias de mais de um provedor", disse Paul Veradittakit, sócio da empresa de capital de risco Pantera, em um e-mail. "Também achamos que projetos e investidores podem querer comprar seguro para se protegerem."

Também é notável que nenhum dos principais projetos DeFi sofreu ataques de oráculos estimulados por empréstimos rápidos, disse o fundador da DYDX, Antonio Juliano, ao CoinDesk em uma mensagem. Muitos empréstimos rápidos usados ​​em ataques se originaram em sua plataforma, que oferece o produto sem taxa.

Ele disse que “há uma grande divisão entre os projetos bem projetados e os outros;” uma divisão que está sendo concretizada em tempo real por empréstimos rápidos.

“Da mesma forma que você T culparia o Ethereum por um detalhe de implementação da cadeia que está sendo usada para um ataque, a maneira como os empréstimos flash estão sendo usados ​​em explorações é culpa dos desenvolvedores que criam aplicativos inseguros, não dos empréstimos flash em si”, disse Juliano.