BẢN TIN # 5: Suy nghĩ về DeFi Security

blog 1Tin tứcDevelopersEnterpriseBlockchain ExplainedEvents and ConferencePressBản tin

Theo dõi bản tin của chúng tôi.

Địa chỉ email

Chúng tôi tôn trọng quyền riêng tư của bạn

HomeBlogCodefi

BẢN TIN # 5: Suy nghĩ về DeFi Security

bởi Nicole Adarme, ngày 12 tháng 5 năm 2020Đăng vào ngày 12 tháng 5 năm 2020

tính năng codefi

Này bạn,

Hy vọng rằng email này giúp ích cho bạn và được điều chỉnh (hoặc điều chỉnh) theo các mẫu hành vi mới của chúng tôi. Nếu bạn đã theo dõi Hội nghị thượng đỉnh Ethereal ảo đầu tiên vào tuần trước, bạn đã nghe rất nhiều về tầm quan trọng của DeFi đối với Ethereum và tương lai của mạng với sự ra mắt của Ethereum 2.0. Vì vậy, đối với bản tin của tháng này, chúng tôi nghĩ rằng chúng tôi sẽ cung cấp cho bạn thông tin cập nhật về cả hai.

Câu hỏi về bảo mật trong các ứng dụng DeFi

Năm 2020 đã chứng minh một năm quan trọng đối với hệ sinh thái Ethereum DeFi. Ngoài việc kỷ niệm hơn 1 tỷ đô la Mỹ bị khóa DeFi và các cột mốc quan trọng của nền tảng, ngành công nghiệp này còn thường xuyên xảy ra các sự cố bảo mật nhỏ và lớn trên cả các ứng dụng DeFi mới và đã được thành lập. Các sự kiện bZx và Maker của tháng 2 và tháng 3 đã được đề cập kỹ lưỡng, nhưng chúng tôi đã thu thập một số dữ liệu và thông tin chi tiết về các sự kiện gần đây trên giao thức Uniswap và Lendf.me, đặc biệt là xung quanh sự thỏa hiệp của tiêu chuẩn mã thông báo ERC-777 cho phép tin tặc rút tiền điện tử trị giá 25 triệu đô la vào ngày 18 tháng 4 & Ngày 19. 

Mã thông báo imBTC là mã thông báo ERC-777 được phát hành bởi Tokenlon, một DEX chạy trên giao thức 0x. Trong cả hai sự cố Uniswap và Lendf.me, (các) tin tặc đã khai thác một lỗ hổng gần đây phát sinh từ sự không tương thích giữa tiêu chuẩn mã thông báo ERC-777 và các giao thức DeFi. Nói rộng ra, lỗ hổng reentrancy cho phép hacker về cơ bản chi tiêu lại các khoản tiền gửi ban đầu của imBTC, cung cấp cho họ nguồn vốn không giới hạn một cách hiệu quả để thực hiện các giao dịch hoặc khoản vay.

Hủy hoán đổi:

Cuộc tấn công có thể xảy ra vì Uniswap V1 không có sẵn các biện pháp để bảo vệ chống lại kiểu tấn công gần đây khi tương tác với tiêu chuẩn ERC-777. Tổng cộng, hacker đã kiếm được ~ $ 300 nghìn USD bằng imBTC và ETH (~ $ 141 nghìn ETH + ~ $ 160 nghìn imBTC). 

Điều thú vị là, vectơ tấn công này không phải là không biết đối với Uniswap hoặc đối với cộng đồng tiền điện tử nói chung. Gần đúng một năm trước cuộc tấn công Uniswap, ConsenSys Diligence – dịch vụ kiểm toán bảo mật do ConsenSys cung cấp – xác định và xuất bản vector tấn công lần cuối ERC-777. Uniswap đã có kế hoạch giải quyết vectơ tấn công, như được nêu trong Ngày 23 tháng 3 bài đăng trên blog về các tính năng của Uniswap V2.


biểu đồ 1.png

Lendf.me

Sự cố Lendf.me đã khai thác cùng một lỗ hổng gần đây do sự tương thích không đầy đủ giữa giao thức cho vay và tiêu chuẩn mã thông báo ERC-777, nhưng mức độ thành công rộng rãi hơn nhiều. Gần 100% số tiền của Lendf.me – hơn 24 triệu đô la Mỹ – đã bị tiêu sạch trong cuộc tấn công vào ngày 19 tháng 4.

Không giống như sự kiện Uniswap, số tiền bị đánh cắp không chỉ giới hạn ở ETH và imBTC. Mặc dù phần lớn số tiền bị đánh cắp là WETH (10,8 triệu đô la), USDT và HBTC đã kiếm được thêm 9,7 triệu đô la, tiếp theo là ít nhất 16 mã thông báo khác. Biểu đồ bên dưới cho thấy sự phân bổ tài sản của các khoản tiền bị xâm phạm và khối lượng mã thông báo hàng tháng trên Lendf.me dẫn đến cuộc tấn công vào ngày 19 tháng 4.

biểu đồ 2.png

biểu đồ 3.png

Trong một biến cố bất ngờ, (các) tin tặc Lendf.me đã trả lại số tiền bị đánh cắp cho giao thức, được cho là vì họ vô tình làm lộ địa chỉ IP trong cuộc tấn công. Biểu đồ Sankey dưới đây cho thấy dòng tiền sau vụ hack. Các quỹ đã rời khỏi hợp đồng Lendf.me (màu xanh lá cây), chuyển qua hợp đồng trình xử lý (màu xám) và đến địa chỉ của tin tặc (màu đen). Sau khi IP bị tiết lộ, hacker đã chuyển tiền trở lại địa chỉ quản trị Lendf.me, sau đó chuyển tiền đến một địa chỉ khôi phục (cả hai đều có màu tím). Phía xa bên phải của biểu đồ, nơi biểu đồ chảy ra thành nhiều dòng quỹ riêng lẻ, đánh dấu thời điểm Lendf.me trả lại tiền cho người dùng cá nhân.

biểu đồ 4.png

Điều này có ý nghĩa gì đối với DeFi?

Bất chấp những làn sóng sự cố bảo mật này trên các giao thức DeFi, ngành công nghiệp này vẫn còn rất nhiều tích cực về các cơ hội của DeFi và động lực mà nó đang mang lại cho Ethereum. Số liệu thống kê DeFi khách quan hỗ trợ tâm lý tích cực. Để đối phó với các sự kiện bảo mật trong năm nay và áp lực thị trường đáng kể bắt đầu từ tháng 3, ETH bị khóa đã giảm từ mức cao nhất mọi thời đại vào tháng 2. Tuy nhiên, các số liệu thống kê này đã giảm xuống chỉ đến con số tháng 12 năm 2019. cam kết tổng thể đối với các mô hình tài chính phi tập trung đang nổi lên vẫn mạnh mẽ.

Trong các sự cố bảo mật năm 2020 này, cộng đồng Ethereum đã tập trung sự chú ý vào các cách ngăn chặn và ứng phó với các sự kiện trong tương lai. Nói chung, có một đề xuất giá trị của tất cả các vụ hack này xảy ra trên công nghệ mở. Không cần sự cho phép hoặc quyền truy cập cụ thể, các kiểm toán viên bảo mật của bên thứ ba và các nhà phát triển dapp có thể tự do phân tích các sự cố, cảnh báo về các điểm yếu khác và đề xuất các bản sửa lỗi cho các ứng dụng DeFi trong tương lai. Những sự cố này tiết lộ đặc tính hợp tác của phần mềm mở và tạo tiền đề cho một hệ sinh thái an toàn hơn. Đặc biệt:

Công cụ giám sát DeFi: Tận dụng tính mở của chuỗi khối Ethereum, một loạt các công cụ giám sát liên quan đến DeFi có sẵn cho công chúng để tương tác tự tin hơn với các ứng dụng tài chính. Codefi Kiểm tra là một công cụ mã nguồn mở để tổng hợp thông tin bảo mật quan trọng về các giao thức DeFi, bao gồm kiểm toán công khai, chi tiết khóa quản trị, sự phụ thuộc của tiên tri và hoạt động trên chuỗi. Codefi’s Điểm DeFi là một giá trị của rủi ro nền tảng có thể được so sánh giữa các giao thức để thông báo tốt hơn cho quyết định của người dùng khi lựa chọn giữa các ứng dụng DeFi.

Tính minh bạch về bảo mật: Các Dapp đang trở nên cởi mở hơn về các lỗ hổng bảo mật đã được xác định. Uniswap đã thừa nhận vấn đề ERC-777 trong Bài đăng trên blog tháng 3 năm 2020. Một nhà phát triển từ giao thức giao dịch Hegic đã xuất bản một ‘công việc khám nghiệm tử thi’ mở về một lỗi trong mã của cô ấy khiến một số khoản tiền không thể truy cập được. Giao thức Exchange Loopring đã xác định được lỗ hổng giao diện người dùng, đã tạm dừng trao đổi, thông báo cho cộng đồng, và đã làm việc để khắc phục sự cố. Loại minh bạch này rất quan trọng để xây dựng lòng tin giữa người dùng mới và người dùng hiện tại cũng như mở rộng mạng lưới giao thức DeFi an toàn hơn.

Bảo hiểm DeFi: Bảo hiểm dựa trên chuỗi khối đã xuất hiện được một thời gian, nhưng đã được chú trọng nhiều trong vài tháng qua. Nexus tương hỗ – một cựu chiến binh bảo hiểm blockchain – và gần đây Opyn đã (lại) nổi lên như những người chơi hàng đầu trong ngành DeFi liền kề này. Các lỗ hổng bảo mật có khả năng tồn tại trong bất kỳ lĩnh vực công nghệ nào, dù mới nổi hay đương nhiệm. Càng có nhiều biện pháp bảo vệ tồn tại cùng với các công nghệ này, con đường dẫn đến việc áp dụng rộng rãi càng dễ dàng.

Codefi lượt truy cập nhanh

Hội thảo trên web sắp tới

CBDC và Stablecoin

14 tháng 5 năm 2020

Đăng ký

cbdc.jpg

State + of + Staking + Webinar + Nổi bật + (1) .png

Hội thảo trên web sắp tới

Trạng thái đặt cọc

19 tháng 5 năm 2020

Đăng ký

Thông báo

  • Mới đối với Bản tin và Codefi? Thủ tục thanh toán video giải thích này về ConsenSys Codefi.

  • Phản hồi về Codefi của ConsenSys: TLDR; chúng tôi muốn đến biết bạn rõ hơn và sẽ mất 3 phút.

  • API dữ liệu Codefi: Với API dữ liệu, các nhà phát triển, nhà đầu tư, doanh nghiệp và những người đam mê DeFi giờ đây có thể truy xuất dữ liệu rủi ro ở định dạng dễ tích hợp để hỗ trợ tốt hơn cho các dự án của họ. Liên hệ để bắt đầu với API. 

  • Tỷ lệ DeFi: CodeFi ra mắt Công cụ quản lý rủi ro cho vay DeFi mới: Kiểm tra. Được phát hành vào tháng trước, Codefi Kiểm tra là một dự án mã nguồn mở dành riêng cho tính minh bạch của giao thức trong DeFi, theo dõi tất cả các cuộc kiểm toán công khai, chi tiết khóa quản trị, sự phụ thuộc của oracle và hoạt động trên chuỗi. 

  • Mong đợi Ethereum 2.0? Codefi Activate đã tạo ra một máy tính Eth2 để giúp những người nắm giữ ETH bắt đầu xác định loại phần thưởng mà họ có thể mong đợi từ việc đặt cược trên mạng. Tính toán phần thưởng ETH tiềm năng của bạn.

  • Báo cáo của Codefi Asset về việc sử dụng blockchain để trao quyền cho các hệ thống giáo dục thành phố khi chúng chuyển đổi sang học tập kỹ thuật số trong thời gian COVID-19. 

  • Một báo cáo gần đây của ConsenSys Codefi xem xét sở thích, kỳ vọng và điểm khó khăn của những người nắm giữ ETH khi họ nhìn về phía trước sự ra mắt của Ethereum 2.0 và cơ hội đặt cược ETH. Đọc Báo cáo Hệ sinh thái Đang giữ vững Eth2.

Tiêu điểm Codefi:

Báo cáo hệ sinh thái vững chắc của Ethereum 2.0

Sự ra mắt của Ethereum 2.0 (Eth2) vào năm 2020 thể hiện một cột mốc quan trọng và được mong đợi từ lâu của mạng lưới. Việc ra mắt mạng thành công sẽ yêu cầu chủ sở hữu ETH chọn gửi ETH của họ dưới dạng cổ phần trên mạng Proof of Stake mới. Để hiểu động cơ, sở thích và hành vi của những người nắm giữ ETH có kế hoạch (hoặc không) đặt cược vào Ethereum 2.0, Codefi Activate đã khảo sát ~ 300 người nắm giữ ETH. Những kết luận này đã được thu thập vào Báo cáo Hệ sinh thái Ổn định Ethereum 2.0. 

Trong số tất cả những người được hỏi, hơn 65% dự định đầu tư vào Ethereum 2.0. Chỉ có 17% ​​là chưa quyết định (14%) hoặc đã quyết định không tham gia (~ 3%). Trong số những người được hỏi có kế hoạch đặt cược, họ được chia khoảng 50/50 giữa việc lập kế hoạch chạy các nút xác thực của riêng họ và lập kế hoạch sử dụng dịch vụ đặt cược của bên thứ ba. Tuy nhiên, cả hai phân khúc đều có kế hoạch cổ phần khoảng 50% ETH thuộc sở hữu của họ.

biểu đồ 5.png

Một động lực chính cho sự tham gia của những người nắm giữ ETH trong mạng Ethereum 2.0 là tiềm năng nhận được phần thưởng khối dưới dạng ETH. Khi được hỏi% lợi nhuận nào sẽ xác thực sự tham gia của họ vào Eth2, những người trả lời dự định chạy trình xác thực của riêng họ sẽ yêu cầu lợi nhuận trung bình 5,8% (của ETH đã đặt cọc). Tuy nhiên, những người dự định sử dụng dịch vụ của bên thứ ba sẽ yêu cầu phần thưởng cao hơn một chút – trung bình là 7,6%. Chênh lệch 2% này có thể là do những người dự định sử dụng bên thứ ba bao thanh toán với mong muốn rằng các dịch vụ đó sẽ tính phí sử dụng. Điều thú vị là những người hiện chưa quyết định có nên đặt cược hay không sẽ yêu cầu phần thưởng cao hơn nữa để thuyết phục họ bắt đầu đặt cược: 9,4%. Với phần thưởng Ethereum 2.0 ban đầu có thể lên đến 20%, có tiềm năng đáng kể để nắm bắt những người nắm giữ ETH chưa quyết định này.

Phần còn lại của Báo cáo bảo mật Codefi Kích hoạt Ethereum 2.0 nêu chi tiết các sở thích của các phân khúc chủ sở hữu ETH này và xác định các điểm cần rút ra chính của dịch vụ Eth2 và các nhà cung cấp khách hàng nên cân nhắc khi cung cấp sản phẩm cho người tiêu dùng. Đặc biệt lưu ý là nhu cầu tiếp tục được giáo dục về các cơ chế của Ethereum 2.0, tính bảo mật của nó và các động lực kinh tế. Ít hơn 35% số người được hỏi cho biết sự hiểu biết “đúng đắn” về kinh tế học Ethereum 2.0. 

Tải xuống Báo cáo hệ sinh thái vững chắc của Eth 2.0

Với lợi ích thúc đẩy giáo dục và sự hiểu biết, ConsenSys đã khởi chạy Cơ sở kiến ​​thức Ethereum 2.0 để liên tục cung cấp thông tin Ethereum 2.0 cập nhật nhất cho cả đối tượng kỹ thuật và phi kỹ thuật.

Truy cập Cơ sở Kiến thức Eth 2.0

Chú thích cuối

Cảm ơn bạn đã theo dõi bản tin này. Chúng tôi hy vọng bạn đã có cơ hội tham gia Hội nghị thượng đỉnh thanh khiết ảo đầu tiên trong tuần trước. Nếu không (hoặc nếu bạn chỉ muốn xem lại các video yêu thích của mình), hãy xem các bài phát biểu và bảng đã tải lên từ khắp hệ sinh thái Ethereum và blockchain, bao gồm Codefi, trên YouTube thanh khiết. Trong thời gian chờ đợi, hãy theo dõi chúng tôi trên Twitter, tìm hiểu thêm trên trang web của chúng tôi và cho chúng tôi biết suy nghĩ của bạn. Cho dù bạn muốn làm việc với chúng tôi, cho chúng tôi hay bạn chỉ muốn gửi lời chào, vui lòng liên hệ với chúng tôi.

Đã chuyển tiếp tin nhắn này? Đăng ký để cập nhật hàng tháng.

Cho đến thời điểm tiếp theo, 

Nhóm Codefi ConsenSys

Bản tin DeFiNewsletterCập nhật sản phẩm Bản tin Đăng ký nhận bản tin của chúng tôi để nhận tin tức Ethereum mới nhất, giải pháp doanh nghiệp, tài nguyên dành cho nhà phát triển và hơn thế nữa.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map