Взлом компании DeFi

Децентрализованные финансы, или сокращенно DeFi , стали модным словом в 2019 году после оценки MakerDao и Compound после того, как обе компании собрали значительные суммы в элитной фирме Venture Capital из Кремниевой долины Andreessen Horowitz.

2020 год был трудным годом для крипто-сектора DeFi – он переживает не лучшие времена. В выходные дни экосистемный протокол dForce Lendf.me потерял 99,95% своих средств от взлома. Всего несколько дней спустя хакер слил информацию о своей личности, в результате чего он вернул большую часть украденных средств. Эта новость появилась после самого большого испытания DeFi 12 марта, когда цена на эфир ( ETH ) резко упала, что привело к чрезмерной нагрузке на системы и их выходу из строя. Большим проигравшим в тот день был MakerDao, чья плохая архитектура и инфраструктура были выставлены из-за ограничений сети Ethereum.

Ведущая децентрализованная финансовая платформа MakerDao накапливала долги, которые должны были быть выручены деньгами венчурной фирмы. Месяц спустя у доллара DAI возникли проблемы со стабильностью, и в отношении фонда Maker Foundation в Северном окружном суде штата Калифорния за халатность был подан коллективный иск на сумму 28,3 млн. Долларов США . Пользователи хотят вернуть свои деньги.

Еще 18 апреля у пользователей кредитного протокола Lendf.me было похищено 25 миллионов долларов в эфире и биткойнах ( BTC ). Lendf – это протокол с проблемами безопасности, который является частью экосистемы dForce Foundation. Удивительно, но на самом деле ему удалось собрать почти все средства у злоумышленника, который воспользовался лазейкой для повторного входа в протокол, поскольку в конечном итоге он вернул почти все украденные деньги. После слива 25 миллионов $, хакер вернулся 24 $ миллионов из него, держа $ 1 млн для себя на … Вы знаете, газовые сборы и эти трудные COVID-19 раз, может быть.

По иронии судьбы, хакер не вернул тот же набор украденных активов, а вернул 24 миллиона долларов в другой комбинации токенов криптовалюты. Это произошло сразу же после того, как Фонд dForce закрыл раунд на 1,5 миллиона долларов во главе с Multicoin Capital при участии Huobi Capital и CMB International на прошлой неделе. Можно предположить, что эти средства будут покрывать убытки от взлома.

Брайан Керр (Brian Kerr), генеральный директор кредитной платформы DeFi Kava Labs, рассказал Cointelegraph о том, что пошло не так с dForce, что позволило осуществить этот взлом. В середине 2019 года Кава объявила о своей стабильной монете USDX. Вскоре после этого dForce выпустила собственное название тиккера стабильной монеты под названием USDx. Использование тикера USDX от Kava демонстрирует ограниченную креативность в dForce, которая, вероятно, распространяется и на ее код и технический талант. Роберт Лешнер, генеральный директор кредитной компании DeFi Compound Finance, лично поговорил с Cointelegraph в интервью, после того как он написал в Твиттере о взломе на 25 миллионов долларов и заявил, что компания похитила код, который можно узнать как Compound.

Лешнер объяснил:

«Строительство на цепи беспощадно; Безопасность требует от команды полного внимания. Когда команды повторно внедряют код, который они не написали, становится невозможным узнать, как или почему код работает, или каковы риски … что-либо меньшее является несправедливостью для пользователей. И пользователи должны требовать лучшего ».

К сожалению, dForce стал примером того, чем не должен быть DeFi.

Итак, что вам нужно знать?

Что касается MakerDao и dForce, то, что начиналось как катастрофа, сейчас находится в процессе разрешения. Хотя значительная сумма средств все еще не учтена, из-за этого опыта пользователи ищут альтернативные кредитные платформы DeFi, которым они действительно могут доверять. Многие пользователи потеряли средства, а многие другие чувствуют осторожность, просто читая новости DeFi в эти дни, даже если их деньги не были скомпрометированы ни MakerDao, ни dForce. Как подполе в крипто-пространстве, DeFi еще очень молод.

Действительно ли это была ответственность dForce?

Лешнер сказал, что фирма dForce «скопировала / вставила Compound v1 без изменений». По словам Лешнера, компания утверждает, что код Compound v1 «не был ошибочным», но что группа осторожно относилась к активу, который она перечислила, согласно его твитам . По словам Лешнера, команда dForce скопировала код, который он не полностью понял, из Compound и незаконно развернула его как свой собственный, изменив несколько частей, не осознавая проблем с безопасностью.

Также весом был Керр. Kava Labs – кредитная платформа DeFi, аналогичная MakerDao, но в то время как MakerDao принимает только токены ETH, платформа Kava принимает любые активы, включая Bitcoin, Ripple ( XRP ), Binance Coin ( BNB ) и Cosmos ( ATOM ), которые можно использовать для монетного двора USDX, стабильная монета платформы. Эти вехи развития платформы произошли до того, как dForce выбила тикер USDX для своей собственной стабильной монеты. Керр поделился, что Кава стремится к тому, чтобы USDX стал крупным игроком в мировой финансовой системе.

Основываясь на учете Керра и указав в своем ответе Лешнеру в Twitter, dForce активно продвигал Lendf.me по всему миру, не проводя сначала очень простые аудиты: «Базовый аудит любой уважаемой фирмы поймал бы это – повторный выход – известная проблема и легко проверяется. Помимо кражи кода Compound, DForce также украл имя и тикер токена USDX Kava – несмотря на то, что мы анонсировали наш токен за много месяцев до того, как у них появилась платформа ». Керр признал: «Это ужасный пример того, чем не должен быть DeFi».

Поскольку доверие является наиболее важной и важной основой для взаимоотношений между человеком и его деньгами, Керр считает, что ответственность лежит на «и команде dForce, и пользователях приложения». Он продолжил:

«DForce не понимала, что они делают, и продавала небезопасный продукт. Пользователи не проводили собственную экспертизу в команде или на базе кода, чтобы определить, безопасен ли продукт для использования ».

DeFi не должен быть наглым

Хакер dForce использовал токен imBTC в качестве «троянского коня» атаки – в качестве обертки Ethereum для биткойнов. Лешнер объяснил, что ошибка безопасности произошла из-за известной атаки с повторным входом: «Это дополнительная атака после вчерашней атаки imBTC Uniswap». Далее он сказал: «imBTC – это токен ERC-777, а не обычный актив Ethereum. Умные контракты, включающие imBTC, должны быть очень осторожными и писать дополнительный код для защиты от атак повторного входа ».

Это считается общеизвестной уязвимостью общего стандарта ERC-20, особенно при использовании в контексте DeFi.

DeFi не должно быть в Ethereum

По словам Керра, архитектура сети Ethereum не отвечает требованиям масштабирования и безопасности сектора DeFi, поскольку уровень тестирования, необходимый для достижения всех результатов, бесконечен в языке программирования Solidity. «По этим и многим другим причинам ведущие проекты, включая Binance, Cosmos и Kava, решили оставить экосистему Эфириума для более зеленых пастбищ», – сказал он.

«Создание любого финансового сервиса в сети Ethereum проблематично для безопасности. Тестирование возможных результатов и ошибок Solidity практически невозможно, так как он может сделать практически все что угодно в качестве Turing Complete Language. Несмотря на мощную мощь, это, вероятно, худшая среда для создания финансовой инфраструктуры », – заявил Керр, который считает, что одно из ценностных предложений Kava заключается в том, что он основан на стандартах безопасности как целевая платформа для всех активов, для которых безопасные услуги DeFi являются главным приоритетом.

DeFi должен быть безопасным и надежным

Лендф называет себя «безусловно крупнейшим протоколом DeFi, финансируемым стабильными монетами DeFi». Проблема заключается в том, что Лендф был слишком сосредоточен на увеличении капитала, росте и экспансии, чтобы поддерживать свою самую большую, лучшую и самую крупную стабильную монету, претендующую на известность. Вместо того чтобы сосредоточиться на улучшении кода для безопасности, понимании его кодовой базы, исправлении ошибок и выпуске защищенных продуктов, фирма была чрезмерно сосредоточена на прибыли и предполагаемом статусе.

Например, базовые проверки полностью отсутствовали, и команда слишком быстро преодолевала препятствия, что приводило к уязвимости безопасности, которую еще предстоит устранить.

Это событие можно было бы предотвратить, и пользователи должны были ожидать его появления, по словам Лешнера, который написал в Твиттере подробности о том, как компания украла код Compound: «Если у проекта нет опыта для разработки собственных умных контрактов, а вместо этого ворует и перераспределение чужого кода, защищенного авторским правом, это признак того, что у них нет возможности или намерения рассматривать вопросы безопасности ». Позже он призвал разработчиков и пользователей извлечь ценный урок: не отдавайте свои деньги компании, которой вы не можете доверять.

Керр из Kava Labs продолжил цитировать девиз генерального директора Facebook Марка Цукерберга «двигайся и ломай вещи», уточняя:

«Это хорошее высказывание для базового программного обеспечения и стартапов, но определенно худший совет при создании финансовой инфраструктуры, как показали прошедшие выходные».

DeFi должен ориентироваться на пользователей

Керр также поделился: «В Kava весь наш код построен с нуля, на Голанге, в очень дискретных модулях, которые предназначены для очень специфических действий, которые мы можем проверять и проверять. Это означает, что мы можем полностью протестировать код с высокой степенью достоверности для его точности и безопасности ». Он продолжил:

«Мы ценим безопасность средств пользователей и ставим их во главу угла всего, что мы делаем. Мы запускаем тестовые сети, проводим сторонние аудиты и проводим серьезную экспертную оценку перед тем, как любой код будет запущен на платформе Kava. Кроме того, весь новый код должен быть рассмотрен и одобрен группой проверки, обеспечивающей безопасность и ставку $ KAVA, в которую входят технически подкованные операторы, такие как Binance, OKEx, Huobi, Bitmax, Hashkey, Lemniscap, SNZ, Dokia Capital и Framework Ventures ».

DeFi должен подтвердить, чтобы доверять

Недостаточно доверять компании, потому что у них есть известные инвесторы, как мы видели в случае с dForce и MakerDao. Однако мы часто слышим «доверяй и проверяй», когда мы, вероятно, слышим «проверяй и доверяй» от сообщества DeFi.

В то время как Лешнер является генеральным директором Compound, он также является личным инвестором в Kava Labs наряду с другими ведущими спонсорами, такими как Arrington XRP Capital. Отличная техническая команда Kava и строгое соблюдение мер безопасности – вот что говорят аудиторы о своем коде. Перед запуском Kava Labs кредитная платформа провела профессиональный аудит CertiK – ведущей компании по официальной проверке и аудиту. В своем блоге о результатах аудита CertiK заявил : «Kava – одна из лучших кодовых баз, которые Certik видел в проекте на сегодняшний день, особенно в секторе децентрализованных финансов».

Наконец, Керр занял высокое положение в заключении: «Я настоятельно рекомендую всем, кто задумывается об использовании протокола DeFi, сначала проверить команду на техническую компетентность, проверить технически прилежных инвесторов и убедиться, что аудит и экспертные проверки были проведены. Даже тогда предположим, что всегда будет некоторый технический риск и рыночный риск, когда речь идет о протоколах DeFi. Это молодое пространство, и впереди будут еще более болезненные занятия ».

0 КомментариевЗакрыть комментарии

Написать комментарий

семь − три =