DAO'nun "hacklenmesi", kripto para birimi topluluğunun kolektif hafızasına derinlemesine işliyor. Mayıs 2016'da son derece başarılı bir kitle fonlamasının ardından, DAO Bir saldırganın akıllı sözleşmeden para çekmeye başlamasından önce bir aydan biraz fazla sürdü ve yaklaşık 70 milyon dolar değerinde Ether (ETH).
Ancak, o sırada bazılarının da belirttiği gibi, DAO olayı hiç de bir hack değildi. Saldırgan, programcıların beklemediği şekilde davranmasını sağlamak için temeldeki akıllı sözleşme kodundaki bir güvenlik açığından yararlandı. Yine de olay ikiye bölündü Ethereum fonları iade edecek bir hard fork uygulamaya karar verildikten sonra topluluk.
2020'nin başlarına ileri sarıldı ve 1 milyar doların üzerinde kripto merkezi olmayan finans ile bağlantılı. Akıllı sözleşmelerin yönetimi altında 1 milyar dolar. Dolayısıyla, tarihin ışığında, belki de birisinin bu uygulamaları kimsenin tahmin etmediği bir şekilde gerçekleştirmenin yollarını sonunda bulması kaçınılmazdı. İlki Şubat 2020'de geldi bZx'e iki ayrı saldırı merkezi olmayan ticaret platformu. Daha yakın zamanda bir bilgisayar korsanı 25 milyon dolarla tamamlandı dForce tarafından işletilen Çin kredi platformu Lendf.me'den.
Bilgisayar korsanları dahil olmasa bile, DeFi uygulamaları başka güvenlik açıklarını gösterdi. Mart ortasındaki kripto "Kara Perşembe" sırasında MakerDAO 4 milyon doların üzerinde krediyi tasfiye etti ETH'nin fiyatı düşerken. Kaza, hızlı bir yönetim oylamasına ve hasarı gidermek için bir borç müzayedesine yol açtı.
Yorumların çoğu DeFi'nin bu aksiliklerden kurtulabilip kurtarılamayacağına odaklanmıştır. DAO olayının geçmişine dayanarak, DeFi'nin iyileşmesi kaçınılmaz görünüyor. Belki de daha önemli olan soru, DeFi DApp operatörlerinin gelecekte yaşanmalarını önlemek için bu tür olaylardan ne öğrenebilir?
DForce'dan kolay kazanç
Lendf.me kesmekle ilgili en son olay bazı kolay kazançlar sunuyor. Platform Çin'in en büyük kredi veren DApp'ı. Ancak, hack'in, başka bir merkezi olmayan borç verme uygulaması olan Compound'un önceki bir sürümünden kod kopyaladığı dForce'un bir sonucu olarak ortaya çıktığı ortaya çıktı. Bileşiğin eski kodu, özellikle ERC-777 jetonları için “yeniden giriş” olarak bilinen saldırı türlerine karşı koruma sağlayamadı.
Bu sorun nedeniyle, Bileşik ERC-777 jetonlarını desteklemedi. Ancak, dForce kodu kopyaladığında, aynı önlemleri yerine getirmediğinden, bu güvenlik açığını gerçekten anlamadı ve ERC-777 tokenlerinin Lendf.me'de kullanılmasına izin verdi. Sonuç olarak, saldırgan, platformdan 777 milyon dolar tahliye etmek için ERC-25 imBTC jetonunu kullanarak bu güvenlik açığından yararlandı.
Hacker o zamandan beri fonları iade ettiama bu kendi başına bir savunma değil. Cointelegraph tarafından bildirildiği üzere dForce, böyle bir saldırıyı önlemek için yeterli önlemleri almadığı için eleştirilere maruz kaldı. Öyleyse, dForce'un sorunu bilmediğini varsayarsak, bundan nasıl kaçınabilirlerdi? Equilibrium CEO'su ve kurucu ortağı Alex Melikhov - EOS tabanlı yayıncı stablecoin EOSDT - emsal değerlendirme fikrinin büyük bir hayranıdır. Cointelegraph'a "üçüncü bir tarafın kod incelemesinin olayı önleyebileceğini" söyledi:
“Burada önemli bir nokta, bir test çerçevesi ve kod denetimleri oluşturmak. Dört göz ilkesi kod geliştirme için mükemmel bir şekilde uygulanabilir ve kesinlikle güvenlik açığı risklerini azaltır. DForce'un (USDx ve Getiri Artırıcı protokolünü herkese açık olarak denetlemiş olan) PeckShield ile ortaklığına rağmen, denetçilerin borç verme protokolü LendfMe'nin kodunu incelememiş gibi görünüyor. ”
Merkezi borç verme platformu Cred'in CEO'su ve kurucu ortağı Dan Schatt, topluluğun burada bir rol oynayabileceğini bile öne sürüyor. Cointelegraph'a, “Böcek ödülleri toplumu saldırılara ve bu tür güvenlik açıklarından faydalanabilecek türde güvenlik açıklarını aramaya teşvik edebilir.” Dedi.
Yayınlandığı sırada dForce, onaylı Saldırıdan etkilenen kullanıcıların% 100'ünün varlık yeniden dağıtma çabasıyla geri ödendiği. DForce, Cointelegraph'ın yorum talebine yanıt verdi. DForce'un kurucusu Mindao Yang, düşündükten sonra şunları söyledi:
“Benzer bir saldırı [Lendf.me] olayından önce Uniswap / imBTC havuz hackine de gerçekleşti. ERC777 jetonuyla ilgili Uniswap güvenlik açığı 2018'in sonlarından beri biliniyordu, ancak ERC777 jetonu ve bir yeniden giriş saldırısı yüzeyi oluşturan Bileşik V1 kodu kombinasyonu olaydan sonra dikkatimizi çekti. Uniswap / imBTC havuz saldırıları gerçekleştiğinde daha uyanık olabilirdik ve yeni varlıkları kullanırken daha dikkatli olabilirdik. ”
Yang, platformun benzer saldırıları önlemeyi planladığını ve gelecekte bazı dış uzmanlara katılacağını söyleyerek devam etti:
“Tam bir denetime yardımcı olmak ve gelecekteki güvenlik uygulamalarımızı güçlendirmemize yardımcı olmak için sınıfının en iyisi üçüncü taraf güvenlik danışmanlarıyla çalışacağız. Yeni bir merkezi olmayan para piyasası protokolünü ve diğer protokolleri yeniden yerleştirmek için doğru zamanı bulacağız. İleride, onların yardımıyla, dForce ekosistemine varlıkları dahil ederken titiz ve denetlenmiş bir entegrasyon süreci sunacağız. ”
Sözcü, bu konuda atılan adımlarla ilgili daha ayrıntılı bilginin ilerideki bir blog yayınında paylaşılacağını doğruladı.
BZx - daha karmaşık bir konu
Son dForce olayından önce, DeFi ticaret platformu bZx bir hafta içinde iki kez vuruldu. Bu saldırılar, genel olarak kripto para biriminin olgunlaşmamışlığından ve nispeten düşük likiditesinden daha az buggy koduna düşmüştür. İster merkezileştirilmiş ister merkezden dağıtılmış olsun, türev borsalar fiyat oraclesine dayanır. Bunlar genellikle birden fazla borsadan ortalama bir fiyat kullanılarak spot piyasalardan alınır.
DeFi platformlarında, fiyat feed'i Uniswap ve Kyber gibi merkezi olmayan borsalardan gelir. Sorun şu ki, bu platformlarda düşük likiditeye sahip bazı jetonlar, fiyatı manipüle etmek nispeten kolaydır.
İlgili: BZx Anlık Kredi Saldırıları DeFi'nin Sonunu mu İşaretliyor?
BZx, bir sigorta fonundan 900,000 dolarlık kullanıcı kaybını karşılayarak olayı iyi idare etti. Deribit araştırmacıları Su Zhu ve Hasu daha önce açıkladı BitMEX gibi merkezi borsalarda bile fiyat oracle'larının manipülasyona karşı nasıl savunmasız olduğu. Fiyat oracle verileri için merkezi olmayan borsalara güvenilen DeFi'de, bu kazanın kartlarda olduğu söylenebilir.
Bununla birlikte, ilgi çekici bir muamma sunar - zorluğu çözmenin tek yolu, manipülasyona karşı zayıflığı azaltmak için daha fazla kullanıcıya DEX'lere likidite enjekte etmektir. Ancak, fonların tahliye edilme riski olduğu sürece, DeFi kullanıcıları çekmek için mücadele edecektir.
Anahtar güvenlik açığı
Son olarak, MakerDAO'da kitlesel tasfiyelere neden olan son Siyah Perşembe etkinliğine yönelmek: Fiyat çöküşü, Maker'ın kontrolünün tamamen ötesinde olduğu sürece, bundan çıkarılabilecek herhangi bir ders var mı?
Mart çöküşü ve sonraki tasfiyeler, üreticinin açık artırma parametrelerini değiştirmek ve kripto piyasasıyla ilişkilendirilmemiş bir teminat varlığı türü olan USDC'yi tanıtmak için bir oylamaya neden oldu. DeFi dedektörleri, merkezi bir eşdeğer tarafından teminat altına alınması gereken kripto destekli bir stabilcoinin ironisine kuşkuyla bakacaktır.
Bununla birlikte, belki de Maker'ın USDC'yi tanıtması, topluluğun DeFi pazarının genç yaşının, kendi ayakları üzerinde durabilene kadar nispeten istikrarlı, merkezi meslektaşları örneğini takip etmesi gerektiği anlamına geldiğini kabul etmede belirli bir olgunluk gösteriyor. Sonuçta, Maker kurucusu Rune Christensen geçtiğimiz günlerde Cointelegraph'a inandığı bir röportajda söyledi DeFi sonunda CeFi ile birleşecek, belki de Maker'ın USDC'yi kullanmasının bu hareketin erken bir öngörücüsü olduğunu gösteriyor.
Bu yıl 1 milyar dolarlık dönüm noktasına ulaştıktan sonra, DeFi'nin bu aksaklıklardan ne zaman iyileşip iyileşmeyeceği ve bu sayıyı bir kez daha geri alacağı sorusu. Bununla birlikte, bu aksiliklerin hiç gerçekleşmesi, DeFi kurucularının sektörün ne kadar ilerlediğine değil, daha ne kadar ilerlemesi gerektiğine odaklanması gerektiğini göstermektedir. Son olaylardan öğrenerek daha hızlı iyileşme şansı var.
Kaynak: https://cointelegraph.com/news/defis-recent-costly-setbacks-serve-as-lessons-for-the-sector
