九个月前,在丹佛会议中心,一个摊位空着。
桌子上满是令牌贴纸,应该是分散财务协议(DeFi)协议bZx的物理代表。 但是,由于团队努力理解扭曲其年轻项目的数字力量,它仍然是空的。
正如他们会发现的那样,bZx是2020年的“零病人耐心贷款”。
骇客之后:DeFi协议bZx的展位在ETHDenver空着。 (CoinDesk档案)
从那以后的几个月中,新案件没有停止。 以11月为例:Akropolis提供了200万美元,Cheese Bank提供了330万美元,Value Finance提供了600万美元,Origin Protocol提供了700万美元。
订阅我们关于市场的每日新闻第一移动公司(First Mover)。通过注册,您将收到有关CoinDesk产品的电子邮件,并且您同意我们的条款和条件以及隐私政策。
在所有这些最近的攻击中,快速贷款仍然是共同的线索。 这些DeFi原生工具使精明的投资者能够借出无抵押贷款并积累头寸背后的杠杆作用。 例如,星期一的原始协议攻击者从分散式衍生品平台dYdX提取了7万美元的ETH贷款。 它使攻击者能够从项目中吸收赃物。
然而,尽管行业领导者告诉CoinDesk,尽管它们可能是连接这些漏洞的根源,但并不是其本身就是原因。
甲骨文操纵和快速贷款
Chainlink联合创始人谢尔盖·纳扎罗夫(Sergery Nazarov)在一封电子邮件中告诉CoinDesk,将最近的DeFi漏洞描述为“快速贷款攻击”甚至不公平。
纳扎罗夫说,短期贷款的核心只是成功交易头寸的一次性投入。 真正的问题在于构建不良的DeFi项目。
“尽管许多人试图通过提供快速贷款来构筑这一趋势,但其中大多数漏洞利用可能是任何资金雄厚的参与者所为。 紧急贷款所做的只是暂时使任何人都拥有雄厚的资金。”纳扎罗夫说。
阅读更多:关于DeFi“ Flash贷款”攻击的所有您想知道的信息
DeFi的项目是部署到以太坊区块链的智能合约。 他们需要外部信息(即定价数据)来执行每个合同中包含的操作。
由于以太坊区块链如何打包交易(即每15秒一次),因此定价信息容易失真。 价格可以在15秒内沿任何方向移动,这迫使智能合约对过时的数据采取行动。
此外,许多DeFi应用程序依赖于由令牌储备,非分散式定价提要或其他临时解决方案创建的内部定价预言。 例如,Harvest Finance依靠另一个DeFi项目Curve Finance为其令牌池定价。
在Harvest Finance这样的情况下,互操作性成为负面依赖。 价值5000万美元的短期贷款使资产价格暂时偏离了市场价值,从而带来了套利机会。 从理论上讲,一个具有更强大的定价系统的项目不会成为该漏洞的牺牲品。
审计够了吗?
开发人员需要注意的另一点是,仅代码审计并不能确保DeFi项目的安全。
Quantstamp首席执行官Richard Ma在通过Whatsapp与CoinDesk交谈时说,开发人员需要自己了解市场,这可能比他们部署到以太坊区块链中的代码更重要。 Quantstamp已对多个顶级DeFi项目(例如Curve Finance,MakerDAO和SushiSwap等)进行了审计或咨询。
“了解产品和业务逻辑比直接编写代码审查要花更多的时间和精力,” Ma说。
的确,阿克罗波利斯曾两次受到两家独立公司的审计,但仍遭受重新进入攻击。
当智能合约的后门处于半开状态时,就会发生这种攻击。 记录合同状态的合同状态(除其他事项外)在删除令牌后无法足够快地更新,这使攻击者无法运出更多硬币。 这与懒惰的银行出纳员继续从透支的账户中提取资金没什么不同。
阅读更多:Harvest Finance:2400万美元的攻击在最新的DeFi漏洞中触发了5.7亿美元的“银行挤兑”
将审计冗余与保险相结合是一个步骤,至少一家大型加密货币投资公司现在敦促这样做。
风险投资公司Pantera的合伙人Paul Veradittakit在一封电子邮件中说:“我们建议投资组合公司从多家提供商处进行多次审核。” “我们还认为,项目和投资者可能希望购买保险以保护自己。”
dYdX创始人安东尼奥·朱利安诺(Antonio Juliano)在给CoinDesk的消息中说,还值得注意的是,顶级DeFi项目中没有一个受到闪速贷款刺激的甲骨文攻击。 在攻击中使用的许多快速贷款起源于他的平台,该平台免费提供产品。
他说:“精心设计的项目与其他项目之间存在很大的鸿沟;” 快速借贷实时填补了鸿沟。
“以同样的方式,您不会将以太坊用于攻击的实施细节归咎于以太坊,闪速贷款在漏洞利用中的使用方式是开发人员构建不安全应用程序的错误,而不是闪速贷款本身,”说过。