Спасибо
Daltonik4 Февраля 2022
KLAYswap
$1,83 Mhttps://bitcointalk.org/index.php?topic=5267124.msg59153910#msg591539108 Февраля 2022
DeFi Meter
$4,3 Mhttps://bitcointalk.org/index.php?topic=5267124.msg59189702#msg591897028 Февраля 2022
DeFi QiDao Protocol
$13 Mhttps://bitcointalk.org/index.php?topic=5267124.msg59191163#msg5919116311 Февраля 2022
Dego
ущерб оцениваетсяhttps://bitcointalk.org/index.php?topic=5267124.msg59218259#msg59218259Эта статья перенесена из шапки для увеличения местаЗа эти полгода экосистема развилась и произошло много интересных событий.
Если говорить об атаках, то это не совсем правильно. Система очень надежна и "относительно" децентрализована, но основной минус это последствия ошибок в смартконтрактах.
Много проектов связаны между собой этими контрактами, и малейшая ошибка может вызвать серьезные потери - это и есть обратная сторона медали децентрализации.
Хакеры дважды атаковали сервис bZx. Похищено Ethereum на сумму в $1 млн
https://bitnovosti.com/2020/02/18/hakery-dvazhdy-atakovali-servis-bzx-pohishheno-ethereum-na-summu-v-1-mln/Это один из первых случаев в 2020 году, когда "мошенники" воспользовались ошибками смартконтракта.
Более подробную информацию я нашел на этом ресурсе
https://thedefiant.substack.com/p/arbs-exploit-defi-to-make-900k-inCamila Russo(С)
Далее последует смысловой перевод
Exploit DeFi или как заработать $ 900 000 за секундыАтака на bZx стала первой крупной атакой в децентрализованных финансах.
Сегодняшний выпуск будет посвящен эксплойтам bZx - первым крупным «атакам» в DeFi. Вы увидите, почему атаки заключены в кавычки. А также, почему в результате были подняты вопросы о том, является ли DeFi достаточно децентрализованным Обсудим потенциальные точки отказа, связанные с ценовыми оракулами.
Протокол bZx DeFi был атакован дважды; первая атака была 12 февраля и принесла хакерам ~ 1271 ETH, а вторая 17 февраля, потери составили ~ 2378 ETH. Это примерно 320 000 и 600 000 долларов, при курсе ETH - 250 долларов.
Простыми словами, в обоих случаях "трейдеры" взяли так называемые флэш-кредиты, которые не требуют залогового обеспечения, использовали часть средств для открытия длинных или коротких позиций по активу и другую часть заемных средств для покупки крипто-валюты на неликвидных рынках для повышения цен таким образом, чтобы выиграть их длинную или короткую позицию.
Эти эксплойты использовали пять протоколов DeFi в первом случае, четыре во втором. Оба они были выполнены в рамках одной транзакции Ethereum продолжительностью около 15 секунд каждая, и в первом случае комиссионные платежи в сети о стоили 8,21 $, а во втором - 110 $.
Вот как они это сделали
Фигурки LEGO и 2 лица Есть несколько замечательных вещей, чтобы сказать об этих атаках. Во-первых, они подчеркивают всю мощь сочетаемых финансовых продуктов или так называемых «money legos»( Это философия системы DeFi для создания максимальной совместимости между продуктами.
Подробнее тут. ) Трейдеры смогли осуществить эти эксплойты, потому что система очень легко взаимосвязана.
Кредит на одной кредитной платформе используется для открытия 5-кратного шорта на другой торговой платформе. Одна биржа забирает ликвидность у второго провайдера. Цены в одном месте влияют на контракты в другом. Это может быть использовано для создания более быстрых, дешевых и более инновационных финансовых продуктов. Но повышенная сложность также увеличивает потенциальные атаки и усложняет защиту системы. Это интересный процесс, как разработчики защищают экосистему и предотвращают эти атаки.
Поиск виновныхСуществует мнение, что быстрые кредиты являются опасными инструментами, которые могут применятся для злоупотреблений.
В случае первого эксплойта возникла ошибка в коде bZx, которая позволяла хакеру открывать 5-кратную короткую позицию, которая была сильно не обеспечена после совершения сделки. Система не должна была этого допустить, но это произошло из-за ошибки в коде.
bZx использует рыночные цены от децентрализованной биржи Kyber Network. Многие, в том числе основатель Uniswap - Hayden Adams в интервью, указали, что использование текущих рыночных цен в отличие от решений, таких как средневзвешенные по времени, рискованно.
В то время как соучредители bZx Kyle Kistner и Tom Bean в одном из интервью сказали, что источник цены системы не оказал влияния на первый эксплойт,. В твите от аккаунта bZx говорится, что манипулирование оракулом вызвало вторую атаку. Они планируют внедрить оракулы Chainlink в качестве дополнения к ценам от Kyber Network. Отметим, что создатель Ethereum Виталик Бутерин заявил , что в запланированная 2 версия проекта Uniswap будет устойчива к этим атакам.
Сложно найти виноватых. Возможно злоумышленники знали как правильно использовать «money legos» DeFi, и воспользовались сочной арбитражной возможностью. Другой вариант заключается в том, что на самом деле это была атака, поскольку трейдер использовал ошибку в системе bZx, которая позволяла ему злоупотреблять протоколом.
Устранение поврежденийКоманда bZx нашла способ эффективно «приостановить» некоторые функции протокола, чтобы уменьшить ущерб после обоих эксплойтов. Это даже при том, что система спроектирована так, что изменения состояния могут быть переданы только после 12-часовой задержки, предназначенного для оповещения пользователей в случае, если менеджеры злонамеренно манипулируют протоколом.
Но после применения первого эксплойта они удалили токены из белого списка в своем реестре oracle token, который прекратил торговлю и заимствование, так как это действие не было защищено временной блокировкой. Кредитование не пострадало.
Кроме того, чтобы предотвратить любые реализованные потери после первого применения эксплойта, bZx будет использовать залог, оставленный злоумышленником в протоколе, для продолжения обслуживания непогашенного кредита - по предположениям bZx, залог может продолжать выплачивать проценты в течение более чем 200 лет. Однако кредит не обеспечен, и в большинстве случаев он будет ликвидирован, а убытки будут реализованы, что отразится на кредиторах в протоколе. В этом случае он не был ликвидирован благодаря гарантии, которая позволяет руководству справляться с чрезвычайными ситуациями, когда маржин колл истощит весь страховой фонд системы.
“По правилам протокола, если обязательства превышают активы, то конфискация средств являются честной игрой, без какой-либо моральной двусмысленности”, - сказала команда bZx в своем посте.
bZx сказали, что это также «задержит реализацию потери» во второй атаке. Подробности пока не разглашаются.
bZx утверждает, что, хотя они нашли способ приостановить торговлю и решили конфисковать залог злоумышленников, это было в интересах их пользователей. Команда утверждает, что децентрализованная система управления, такая как DAO, приняла бы то же решение.
“De” в DeFiКритики говорят, что платформа DeFi, которая может быть приостановлена ее управленческой командой по желанию, вообще не децентрализована. Основатель Litecoin Чарли Ли сказал: «Большинство DeFi могут быть закрыты централизованной командой, так что это просто децентрализованный театр».
Итак, является ли DeFi полностью децентрализованным сегодня? Ответ - нет. Команды DeFi имеют разную степень контроля над своими платформами с такими мерами защиты, как: временной буфер bZx и требование одобрения изменений несколькими сторонами. Только небольшое количество проектов не в состоянии взять односторонний контроль.
Тем не менее, пользователи по-прежнему лучше контролируют свои средства и информацию, чем в традиционных финансах и централизованных криптообменниках. bZx может приостановить торговлю, но не может получить полный контроль над системой. Это разительное отличие от централизованных криптобирж, где пользователи должны доверять свои средства руководителям проекта, которые могут исчезнуть вместе с ними.
Другое отличие - прозрачность. В DeFi пользователи могут точно определить, где находятся их средства и как они могут быть использованы, так как код большинства платформ открыт. Именно поэтому аналитики смогли проанализировать, как взлом bZx произошел через несколько минут после того, как это было сделано.
Конечно, именно поэтому трейдеры смогли найти эксплойт в первую очередь. Тем не менее, большая сочетаемость, прозрачность при меньшем вмешательстве и контроле третьих сторон приведет к чистому позитиву для системы. Эти ошибки в конечном итоге делают систему надежнее.
