Новый взгляд на финансы: один прием, чтобы обрушить весь рынок, 10–17 февраля

Взлом Alpha Homora все еще распространяется на рынках.

Finance Redefined — это информационный бюллетень Cointelegraph, ориентированный на DeFi, который рассылается подписчикам каждую среду.

Взлом Alpha Homora и Cream Finance произвел гигантский след в DeFi space на этой неделе.

Это самый крупный взлом в истории DeFi: украдено 37 миллионов долларов. Это также одна из самых сложных уязвимостей Alpha Homora, очевидно использующая несколько откровенных уязвимостей. Несколько пропущенных входных проверок в очень специализированных условиях позволили хакеру злоупотребить привилегией Alpha Homora занять неограниченную сумму средств у Iron Bank Cream Finance. Разумеется, были задействованы срочные кредиты, но в отличие от некоторых предыдущих хакерских атак, таких как Harvest Finance, это, похоже, не было чисто экономическим взломом.

Новости о взломе оказали очень негативное влияние на цены для всех протоколы, задействованные во взломе, в том числе по какой-то причине Aave. Если смотреть в более общем плане на DeFi Perp на FTX, то можно увидеть явный пик прямо 13 февраля, когда произошел взлом.

Индекс DeFi FTX, любезно предоставлено TradingView .

Возможно, отчасти это просто нормальное поведение рынка, но в целом похоже, что взлом в одиночку положил конец сезону DeFi, пока.

Аудиторы чувствуют жар

Как и любой другой протокол, который сегодня получает массовое распространение, Alpha Homora прошел аудит Quantstamp и PeckShield, обе квалифицированные и респектабельные фирмы.

Однако детали взлома заставили некоторых заподозрить, что это была внутренняя работа, возможно, кем-то из этих аудиторских фирм. Базовый разработчик Yearn.finance Бантег упомянул, что детали взлома были настолько неясными, что было крайне маловероятно, что кто-то понял бы это, просто взглянув на контракты. Примечательно, что пул, атакованный хакером, был необъявленным и неиспользованным, что и позволило взлому в первую очередь произойти.

Хотя публичных обвинений не было, инцидент вызвал еще одно обсуждение того, почему аудиторы потерпели неудачу чтобы поймать ошибку, правильно ли они мотивированы и как можно смягчить эту ситуацию.

Анатомия сложного взлома

Как бывший охотник за ошибками, я действительно верю что экосистема аудита настолько «ориентирована на стимулы», насколько это возможно. Аудиторские компании рискуют своей репутацией каждый раз, когда подобная серьезная ошибка проскальзывает через их сети. Хватит быстро сменять друг друга, и никто больше не будет доверять этому бизнесу. У аудиторов есть вся мотивация найти все, что они могут, просто иногда они реально не могут этого сделать.

Аудит — это ограниченный по времени контракт, в течение которого команда опытных инженеров по безопасности прочесывает код в поиске всего, что выглядит подозрительно. Ключевые слова здесь: «ограниченное время» и «поиск чего-либо».

Я могу сказать по собственному опыту, что ошибку, подобную той, которая была у нас сейчас, не то, что вы можете случайно обнаружить, взглянув на код. Поиск такой многоступенчатой ​​сложной ошибки — это итеративный процесс. Это начинается с того, что вы натыкаетесь на одну странную вещь, которая действует не так, как должна. Например, веб-сайт забывает проверить, действительно ли вы вошли в систему при выполнении определенной задачи. Вы берете самородок и спрашиваете себя: «Как я могу это использовать?» Вы придумываете идеи, исследуете платформу на предмет других слабых мест и смотрите, сможете ли вы как-то их объединить. В большинстве случаев вы фактически ничего не находите, и это слабое место остается неиспользованным.

Но за дни целенаправленной работы, многочисленных проб и ошибок иногда вы все же понимаете, как использовать первоначальную проблему. Когда это происходит, всегда возникает комбинация факторов, которые сами по себе кажутся несущественными, но вместе взятые они складываются в неприятную головоломку.

Сосредоточенность и преданность делу, необходимые для поиска большинства ошибок, которые привели к серьезным взломам, — это что-то особенное. что выходит за рамки аудита. Если бы они преследовали каждую зацепку с имеющимся у них временем, они буквально потратили бы так много его, что не смогли бы найти очевидные вещи, которые легко использовать. Нельзя сказать, что аудиторы никогда не находят сложных ошибок, но неразумно ожидать, что они найдут все. И если аудитор действительно обнаружил ошибку Alpha Homora и скрыл ее, то это более серьезные проблемы, чем экономические стимулы.

Как обезопасить DeFi

Проблемы с аудитами означают, что проекты следует запускать программы по поиску действительно сложных ошибок. У них нет ограничений по времени, гораздо больше глаз изучает платформу, а оплата основана на результатах — гораздо эффективнее, чем платить аудиторам больше рабочих часов в надежде, что они что-то найдут.

К настоящему времени большинство понимает силу наград за ошибки, хотя, конечно, у Alpha Homora их не было. Но такие проекты, как Yearn.finance, есть, и их все равно взломали.

Иногда такие вещи просто случаются. Crypto несет в себе проблемную комбинацию, заключающуюся в том, что на самом деле использовать ошибку за деньги и избавиться от нее действительно легко, в то время как инфраструктура не похожа ни на что другое, что хакеры видели раньше. Чтобы начать охоту за вознаграждениями в DeFi, вы должны быть серьезным экспертом в области криптографии и опытным программистом на Solidity / Vyper — и то и другое не приходит сразу же. Для хакера в белой шляпе существует множество стандартных платформ Web2, предлагающих очень конкурентоспособные вознаграждения. Зачем им заниматься исследованием DeFi?

Люди неправильно понимают проблему защиты протоколов. Alpha Homora сказал, что любая награда, которую они могли бы заплатить, бледнеет по сравнению с добычей, поставленной на карту. Но цель не должна заключаться в том, чтобы заплатить хакерам то, что они могут украсть. Это проигрышное предложение. Цель состоит в том, чтобы привлечь добросердечных хакеров в белых шляпах для анализа проекта и получения законного вознаграждения. Награда меньше, чем миллионы, которые они могли бы получить, воспользовавшись ошибкой, но которая все равно может изменить жизнь. Может быть, что-то вроде $ 50 000, $ 200 000, в зависимости от ситуации? Это, вероятно, меньше, чем стоимость одного аудита уважаемой фирмой.

Из других новостей

  • 1inch запускает еще одну «вампирскую атаку» на Uniswap, сбрасывая бесплатные токены по воздуху. (некоторые из) своих пользователей.
  • Стартап запускает приложение yield с поддержкой DeFi.
  • Grayscale может стремиться установить доверие YFI. Честно говоря, многие другие, такие как SushiSwap или Chainlink, тоже являются кандидатами.
  • Известные проекты поддерживают GoodFi, образовательный альянс DeFi.
  • HiFi запускает протокол кредитования с фиксированной процентной ставкой.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *