Лидеры отрасли утверждают, что уязвимости DeFi T связывать с мгновенными кредитами

Девять месяцев назад в конференц-центре Денвера один стенд пустовал.

Стол, усеянный наклейками с токенами, должен был содержать физических представителей протокола децентрализованных Финансы (DeFi) bZx. Однако он оставался пустым, пока команда пыталась разобраться в цифровых силах, искажающих их молодой проект.

bZx, как они узнали, былКредит на 2020 год «нулевой пациент».

Новые случаи T прекращались в течение нескольких месяцев с тех пор. Возьмем ноябрь: 2 миллиона долларов от Акрополиса, затем 3,3 миллиона долларов от Cheese Bank, с последующим 6 миллионов долларов от Value Финансыи наконец7 миллионов долларов от Origin Protocol.

Срочные кредиты остаются общей нитью всех этих недавних атак. Эти собственные инструменты DeFi позволяют опытному инвестору брать необеспеченные кредиты и накапливать кредитное плечо для позиции. Например, в понедельникАтакующий Origin Protocolвытащил 70000ETH кредит от децентрализованной платформы деривативов DYDX. Это позволило злоумышленнику увеличить объем добычи, выкачанной из проекта.

Тем не менее, хотя они и могут быть связующим звеном между этими подвигами, сами по себе мгновенные кредиты не являются причиной, сообщили CoinDesk лидеры отрасли.

Манипуляции с Oracle и мгновенные кредиты

Соучредитель Chainlink Сергей Назаров сообщил CoinDesk в электронном письме, что, возможно, даже несправедливо характеризовать недавние атаки DeFi как «атаки с мгновенными кредитами».

Назаров сказал, что по своей CORE флэш-кредиты — это просто единовременные суммы капитала, брошенные на успешные торговые позиции. Реальная проблема заключается в плохо построенных проектах DeFi.

«В то время как многие пытаются сформулировать эту тенденцию как результат быстрых кредитов, большинство этих подвигов мог совершить любой хорошо капитализированный субъект. Все, что делает быстрый кредит, это временно делает любого хорошо капитализированным субъектом», - сказал Назаров.

Читать дальше: Все, что вы когда-либо хотели знать об атаке DeFi «Flash Loan»

Проекты DeFi — это смарт-контракты, развернутые в блокчейне Ethereum . Им требуется внешняя информация, а именно данные о ценах, для выполнения действий, заложенных в каждом контракте.

Эта информация о ценах подвержена искажениям просто из-за того, как блокчейн Ethereum упаковывает транзакции – то есть каждые 15 секунд. Цены могут меняться в любую сторону за 15 секунд, что заставляет смарт-контракты действовать на основе устаревших данных.

Более того, многие приложения DeFi полагаются на внутренние оракулы ценообразования, созданные резервами токенов, недецентрализованными ценовыми потоками или другими специальными решениями. Например, Harvest Finance опирался на другой проект DeFi, Curve Финансы, для ценообразования своих пулов токенов.

В таких случаях, как Harvest Finance, совместимость стала отрицательной зависимостью. мгновенный кредит на сумму 50 миллионов долларов временно отклонил цены активов от рыночной стоимости, создав арбитражную возможность. Проект, имеющий более надежную систему ценообразования, T стал бы жертвой эксплойта, гласит теория.

Достаточно ли аудита?

Еще один момент, с которым сталкиваются разработчики, заключается в том, что аудит кода сам по себе T делает проект DeFi безопасным.

В разговоре с CoinDesk через Whatsapp генеральный директор Quantstamp Ричард Ма сказал, что разработчикам нужно понимать Рынки самостоятельно, возможно, даже больше, чем код, который они внедряют в блокчейн Ethereum . Quantstamp проводил аудит или консультировал по нескольким ведущим проектам DeFi, таким как Curve Финансы, MakerDAO и Sushiswap, среди прочих.

«Понимание продуктов и бизнес-логики требует гораздо больше времени и является гораздо более важным, чем прямой анализ кода», — сказал Ма.

Действительно, Akropolis дважды проходил аудит двумя отдельными фирмами, но все равно подвергся атаке повторного входа.

Такого рода атака происходит, когда бэкдор смарт-контракта остается приоткрытым. Состояние контракта, которое, помимо прочего, фиксирует, сколько токенов у контракта, не обновляется достаточно быстро при удалении токенов, что позволяет злоумышленнику вывести больше монет, чем положено. Это не отличается от того, как ленивый кассир банка продолжает выдавать средства с перерасходованного счета.

Читать дальше: Harvest Finance: атака на 24 млн долларов США спровоцировала «банковское бегство» на 570 млн долларов США в ходе последней атаки DeFi

Объединение аудиторских сокращений со страхованием — это шаг, к которому сейчас призывает по крайней мере ONE крупная Криптовалюта инвестиционная компания.

«Мы рекомендуем нашим портфельным компаниям проходить многократный аудит у ONE поставщиков», — написал в электронном письме Пол Верадиттакит, партнер венчурной компании Pantera. «Мы также считаем, что проекты и инвесторы могут захотеть приобрести страховку, чтобы защитить себя».

Также примечательно, что ни один из ведущих проектов DeFi не пострадал от атак оракулов, вызванных мгновенными кредитами, сказал основатель DYDX Антонио Джулиано в сообщении CoinDesk . Многие мгновенные кредиты, используемые в атаках, возникли на его платформе, которая предлагает продукт без комиссии.

Он сказал, что «существует большой разрыв между хорошо спроектированными проектами и остальными», и этот разрыв в режиме реального времени конкретизируется за счет предоставления срочных кредитов.

«Точно так же, как вы T стали бы винить Ethereum за детали реализации цепочки, используемые для атаки, то, как мгновенные кредиты используются в эксплойтах, является ошибкой разработчиков, создающих небезопасные приложения, а не самих мгновенных кредитов», — сказал Джулиано.