“Рубить” Дао проходит глубоко в коллективной памяти сообщества криптовалют. После чрезвычайно успешного crowdfund в мае 2016 года, в ДАО, продолжалось чуть более месяца, прежде чем злоумышленник начал слив средств из “умных” контрактов, около 70 млн. долларов эфира (ЕТН).

Однако, как было отмечено, в то время, инцидент Дао не рубить вообще. Злоумышленник просто использовал уязвимость в базовой смарт-контракт код, чтобы сделать его вести себя так, чтобы программисты не ожидал. Тем не менее, этот инцидент разделил сообщество Эфириума после того, как было принято решение реализовать жесткую вилку, что бы вернуть средства.

Перенесемся в начале 2020 года, и там стоит крипто свыше 1 миллиарда долларов завязаны в децентрализованных финансов. Это $1 млрд под управлением смарт-контрактов. Итак, в свете истории, он был, пожалуй, неизбежно, что кто-то будет в конечном итоге найти способы сделать эти приложения выполняют таким образом, что никто не ожидал. Первым пришел в феврале 2020 года, с двух отдельных нападений на bZx децентрализованной торговой площадки. Еще совсем недавно, хакер ушел с 25 миллионов долларов из китайского кредита Lendf платформы.меня, выполняемых dForce.

Даже если хакеры не участвует, приложения Дефи показывали другие уязвимости. Во время крипто “Черный четверг” в середине марта, MakerDAO ликвидировано кредиты на сумму более $4 млн., а цена Эт упали. Авария, в результате оперативного управления голосования и результатов долгового аукциона для возмещения вреда.

Большая часть комментариев была сосредоточена на том, или не Дефи может оправиться от этих неудач. Опираясь на историю инцидента Дао, кажется неизбежным, что Дефи выздоравливают. Пожалуй, более уместен вопрос, что может Дефи операторов ДАПП узнать от таких инцидентов, чтобы помочь избежать их в будущем?

Легкий выигрыш с dForce

Самый недавний инцидент с участием Lendf.мне Хак предлагает несколько простых побед. Платформа является крупнейшим в Китае ДАПП кредитования. Однако, оказывается, что взлом был произведен в результате dForce скопировав код из предыдущей версии соединение, другой децентрализованное применение кредита. Старый код базы не смог защититься от тип атаки, известный как “реентерабельность” специально для чер-777 жетонов.

В связи с этим вопрос, состав не поддерживают чер-777 жетонов. Однако, похоже, что когда dForce скопировали код, не очень понимаю этой уязвимости, так как он не поставил те же меры, что позволяет чер-777 жетоны, которые будут использоваться на Lendf.меня. Следовательно, злоумышленник, воспользовавшийся этой уязвимостью, с помощью чер-777 imBTC маркер для слива 25 миллионов долларов с площадки.

Хакер уже вернули средства, но это вряд ли защита сама по себе. Как сообщил в интервью Cointelegraph, dForce столкнулась с критикой за неспособность предпринять достаточные меры для предотвращения такого нападения. Так, если предположить, что dForce просто не знал о проблеме, как они могли бы избежать его? Алексей Мелихов, генеральный директор и соучредитель равновесия — эмитента ЭОС на основе EOSDT stablecoin — большой поклонник идеи экспертных оценок. Он рассказал нам, что “комментарий код третьим лицом мог бы предотвратить инцидент”, добавив:

“Важным аспектом здесь является создание системы тестирования и проверок кода. Этот принцип вполне применим к разработке кода и, безусловно, снижает риски уязвимости. Несмотря на партнерство dForce с PeckShield (который публично ревизию своего USDX и доходность расширения протокола), кажется, что аудиторы не проверили код своего кредита LendfMe протокола”.

Дэн Schatt, генеральный директор и со-основатель централизованного кредитования платформы доверие, соглашается, даже не предполагая, что сообщество могло бы сыграть здесь свою роль. Он заявил в интервью Cointelegraph, “щедроты ошибок может помочь стиме сообщество искать типа уязвимостей, которые могут привести к атакам и эксплуатации этих типов уязвимостей.”

На момент публикации, dForce подтвердил, что 100% пользователей, подвергшихся атаке, были возвращены через его усилия перераспределения активов. Со своей стороны, dForce же ответить на запрос нам для комментариев. Mindao Ян, основатель dForce, заявил, что при отражении:

“Аналогичное нападение произошло на Uniswap/imBTC бассейн рубить до [Lendf.мне инцидент]. В Uniswap уязвимости, связанные с ERC777 маркер, был известен с конца 2018 года, но сочетание ERC777 маркер и соединения В1 код вводить реентерабельность атаки вышли только для нашего внимания после инцидента. Мы могли бы быть более бдительными, когда Uniswap/imBTC бассейн рубить случилось и могло бы быть более осторожными при найме новых активов”.

Ян продолжил, сказав, что платформа планирует избежать подобных нападениях, и на борту некоторых внешних экспертов в будущем:

“Мы привлекаем лучших в своем классе, сторонние консультанты по безопасности, чтобы помочь с полную ревизию и, чтобы помочь нам в укреплении нашей будущей практики безопасности. Мы найдем подходящее время, чтобы развернуть новый децентрализованный денежный рынок протоколом и другими протоколами. Двигаясь вперед, с их помощью мы введем строгую, аудит интеграционного процесса при введении активов в экосистему dForce”.

Пресс-секретарь подтвердил, что дальнейшие подробности о действиях, предпринятых в этой связи будет передаваться в будущем блоге.

BZx — более сложный вопрос

До недавнего инцидента dForce, торговая платформа Дефи bZx был дважды нажмите в течение одной недели. Эти нападения были менее вплоть до ошибок в программном коде, чем незрелость и относительно низкая ликвидность криптовалюты в целом. Бирж производных финансовых инструментов — будь то централизованная или децентрализованная — полагаться на оракулов цене. Эти данные обычно берутся из спотовых рынков, на основании средней цены из нескольких биржах.

В случае платформ Дефи канала цена идет от децентрализованных биржах, таких как Uniswap и кибер. Вопрос в том, что из-за некоторых лексем, имеющих низкую ликвидность на этих платформах, это относительно легко манипулировать ценами.

По теме: суть кредита атак BZx вспышка, сигнализирующая конец Деви?

BZx убрал инцидент, охватывающих $900,000 потерь пользователей от страховой фонд. Исследователи Deribit Су Чжу и АСУ уже объяснил, как оракулы цене уязвимы для манипуляций даже на централизованных биржах, таких как BitMEX. В Дэфи, где децентрализованных бирж ориентировались на цену данных Oracle, можно сказать, что этот случай был на картах.

Тем не менее, он представляет собой любопытный парадокс — единственный способ решить задача состоит в том, чтобы привлечь больше пользователей, чтобы впрыснуть ликвидность в Dexsбыл, чтобы снизить уязвимость к манипуляции. Однако, пока существует риск того, что средства могут быть дренированной, Дэфи будет бороться, чтобы привлечь пользователей.

Ключевые уязвимости

Наконец, обратившись к недавним Черный четверг событие, которое вызвало массовые ликвидации на MakerDAO: сколько цена аварии была полностью вне контроля производителя, есть ли уроки, что может быть отнято от него?

Аварии март и последующей ликвидации в результате голосования, чтобы изменить параметры аукционов Создателя и ввести USD ц, типа залога активов независимым от рынка крипто. Дефи недоброжелатели, несомненно, глумятся над иронией крипто-поддержал stablecoin необходимости быть обеспечены централизованной эквивалент.

Однако, возможно введение изготовителем USD ц свидетельствует об определенной зрелости в признание сообщества, что молодой возраст рынка Дефи значит, он должен последовать примеру его относительно стабильной, централизованного аналоги, пока он может стоять на своих собственных ногах. После всего, основатель создатель Руне Кристенсен недавно рассказал нам в интервью, что он считает Дефи в конечном итоге сливаются с сайт cefi, свидетельствует о том, что, возможно, производитель использует USD ц является ранним предиктором этот шаг.

Достигнув рубежа $1 млрд в этом году, это вопрос о том, когда (а не если) Дэфи будет оправиться от этих неудач и освободить номер еще раз. Однако тот факт, что эти неудачи происходили на всех показывает, что учредители Дефи не нужно ориентироваться на то, насколько отрасль, а в том, как далеко ему еще идти. Изучая недавние инциденты, есть вероятность более быстрого восстановления.