Biztonsági kockázatok az Ethereum DeFi-ben

blog 1NewsDevelopersEnterpriseBlockchain ExplainedEvents and ConferencesPressHírlevelek

Iratkozzon fel hírlevelünkre.

Email cím

Tiszteletben tartjuk a magánéletét

HomeBlogCodefi

Biztonsági kockázatok az Ethereum DeFi-ben

Írta: Everett Muzzy 2020. május 19. Feladva: 2020. május 19

9.

A kockázatok megfigyelésének és védelmének megközelítései

2020 kritikus évnek bizonyult az Ethereum DeFi ökoszisztéma szempontjából. Amellett, hogy a DeFi-ben bezárt, egymilliárd dollár megünneplését és a platform jelentős mérföldköveit ünnepli, az iparágat gyakran tapasztalták kisebb és nagyobb biztonsági események mind az új, mind a már bevált DeFi alkalmazásokban.

5 DeFi biztonsági esemény ami áprilisban történt: 

  • Uniswap: 18-án 340 ezer USD-t loptak el egy reentrancia támadási vektor révén

  • Lendf.me: 19-én 25 millió dollárt loptak el egy reentrancia támadási vektor révén; az alapokat a csapat hackerrel folytatott tárgyalása után újra kibocsátják.

  • Görbe: Stablecoin csereplatformból kiderült, hogy találtak és megoldottak egy hibát az sUSD tartalék szerződésében.

  • PegNet: A többláncú DeFi platform A PegNet 51% -os támadást szenvedett el, amikor a hálózatukban lévő 4 bányász 70% hashrate-t irányított..

  • Hegic: 28 ezer dollár likviditás, lejárt opciós szerződésben zárva egy hibás szerződéssel, amelyért a csapat azt ígérte, hogy az érintett felhasználóknak kártalanít saját tőkéjükkel.

Uniswap és Lendf.me – Az ERC-777 reentrancia támadása

A februári és márciusi bZx és Maker események jól áttekinthetőek, de némi adatot és betekintést nyertünk az Uniswap és a Lendf.me protokollok legújabb eseményeibe, különös tekintettel az ERC-777 token szabvány kompromisszumára, amely lehetővé tette a hackerek számára, hogy 25 millió dollár értékű kriptot ereszt le április 18-án & 19-én.

Az imBTC token egy ERC-777 token, amelyet kiadott Tokenlon, a 0x protokollon futó DEX. Mind az Uniswap, mind a Lendf.me incidensekben a hackerek egy újrakezdési sebezhetőséget használtak fel, amely az ERC-777 token szabvány és a DeFi protokollok közötti összeférhetetlenségből fakadt. Általánosságban elmondható, hogy a reentrancia-sebezhetőség lehetővé tette a hacker számára, hogy lényegében újra költse el az imBTC kezdeti betétjeit, gyakorlatilag korlátlan tőkét biztosítva számukra a kereskedelem vagy kölcsön felvételéhez..

Uniswap

A támadást azért tették lehetővé, mert az Uniswap V1 nem rendelkezik olyan intézkedésekkel, amelyek megvédenék az ilyen típusú újbóli belépési támadást az ERC-777 szabvány használatakor. Összesen a hacker ~ 300 ezer USD-t tett ki az imBTC-ben és az ETH-ban (~ 141 ezer ETH + ~ 160 ezer imBTC).

Érdekes módon ez a támadási vektor nem volt ismeretlen sem az Uniswap, sem pedig a kriptográfiai közösség számára. Szinte egy évvel az Uniswap támadás előtt a ConsenSys Diligence – a ConsenSys által kínált biztonsági audit szolgáltatás – azonosítani és közzétenni az ERC-777 reentrancia támadási vektor. Az Uniswap tervei között szerepel a támadások vektorának kezelése, amint az a vázlatukban is szerepel Március 23-i blogbejegyzés az Uniswap V2 szolgáltatásairól.

1. ábra: Az imBTC Token szerződésegyenlegének feloldása

1. ábra: Az imBTC Token szerződésegyenlegének feloldása

Lendf.me

A Lendf.me incidens ugyanazt az újbóli befogadási sebezhetőséget használta ki, amelyet a kölcsönzési protokoll és az ERC-777 token szabvány hiányos kompatibilitása tett elérhetővé, de jóval szélesebb körű sikerrel. A Lendf.me pénzeszközeinek csaknem 100% -át – több mint 24 millió USD-t – elszívták az április 19-i támadás során.

Az Uniswap eseménytől eltérően az ellopott pénzeszközök nem korlátozódtak csak az ETH-ra és az imBTC-re. Bár az ellopott pénzek többsége WETH volt (10,8 millió dollár), az USDT és a HBTC további 9,7 millió dollárt tett ki, amelyet legalább 16 további zseton követett. Az alábbi grafikonok a megsértett pénzeszközök eszközeloszlását és a Lendf.me havi tokenmennyiségeit mutatják, amelyek az április 19-i támadásig vezetnek.

2. ábra Az elveszett alapok megoszlása ​​token típus szerint

2. ábra Az elveszett alapok megoszlása ​​token típus szerint

3. ábra: Lendf.Me szerződéses egyenleg

3. ábra: Lendf.Me szerződéses egyenleg

Az események váratlan fordulatában a Lendf.me hackerek az ellopott pénzeket visszaadták a protokollnak, állítólag azért, mert véletlenül kitett egy IP-címet a támadás során. Az alábbi Sankey diagram az alapok áramlását mutatja a feltörés után. Az alapok elhagyták a Lendf.me szerződést (zöld), átmentek a kezelői szerződésen (szürke) és a hacker címére (fekete). Miután kiderült az IP, a hacker visszautalta az alapokat a Lendf.me rendszergazdai címre, amely ezt követően egy helyreállítási címre utalta át az összeget (mindkettő lila színnel). A grafikon jobb szélén, ahol a diagram sok egyedi alapfolyamba folyik ki, a Lendf.me visszatérített pénzeszközök az egyes felhasználók számára.

4. ábra. Az alapok áramlása az egész Lendf.Me incidens alatt

4. ábra. Az alapok áramlása az egész Lendf.Me incidens alatt

Döbbenetes látni, hogy a DeFi alkalmazások hogyan vannak összekapcsolva a teljes pénzügyi magatartás ciklusa érdekében, és hogyan játszódott le a tőkeáttétel, az arbitrázs, a hitelezés és a kereskedelem dinamikája. A DEX, a kölcsönök (szintén a Flashloans) és az Oracle közötti szinergia lehetőségeket nyitott meg az Ethereum több pénzügyi elemének fejlesztésére, valamint csökkentette az akadályokat a kisebb résztvevők előtt, mint egy befogadó pénzügyi világ..

Mit tehetünk a DeFi eszközeinek védelme érdekében?

Intelligens szerződés-ellenőrzések

Az ellenőrzési szolgálatok szigorú teszteléssel és fehér kalapos hackeléssel képesek azonosítani a lehetséges szerződéses biztonsági réseket a protokoll vagy a szolgáltatás elindítása előtt. Habár harmadik fél automatizált eszközei képesek azonosítani a gyakori sebezhetőségeket, ezek az eszközök a leghatékonyabbak, ha kézi ellenőrzési szolgáltatásokkal kombinálják őket.

Az áprilisi Uniswap támadást a ConsenSys Diligence könyvvizsgáló szolgálat előzte meg. Sőt, úgy tűnik, hogy a 2020-as események új korszakot váltottak ki a DeFi fejlesztői körében a biztonsági kérdésekben. Fejlesztő a Hegic kereskedési protokollból közzétett egy „post mortem” arról a hibáról a kódjában, amely miatt néhány alap elérhetetlenné vált. Csereprotokoll A Loopring egy front-end biztonsági rést azonosított, és szüneteltette a cserét, bejelentette a közösségnek, és dolgozott a probléma kijavításán. Ez a fajta átláthatóság elengedhetetlen az új és a meglévő felhasználók közötti bizalom kiépítéséhez és a DeFi protokollok biztonságosabb hálózatának növeléséhez.

A DeFi protokollok számának, összetettségének és összekapcsoltságának növekedésével valószínűleg újabb biztonsági rések és kompromisszumok történnek. Bár sajnálatosak, ezek az események döntő fontosságúak a feltörekvő technológiák biztonságos fejlesztése szempontjából. Minél jobban használhatjuk a rendelkezésünkre álló szolgáltatásokat és eszközöket e támadási vektorok azonosítására és az azok elleni védelemre, annál magabiztosabban fognak interakcióba lépni az emberek a kialakulóban lévő nyílt pénzügyi ökoszisztémával.

Monitoring és rangsorolási eszközök

Az Ethereum blokklánc nyitottságának kihasználásával számos, a DeFi-vel kapcsolatos monitoring eszköz áll a nyilvánosság rendelkezésére, hogy magabiztosabban léphessenek kapcsolatba a pénzügyi alkalmazásokkal.. Codefi Ellenőrizze egy nyílt forráskódú eszköz a DeFi protokollokkal kapcsolatos kritikus biztonsági információk összesítéséhez, ideértve a nyilvános auditokat, az adminisztrációs kulcs részleteit, az oracle függőséget és az on-chain tevékenységet. Codefi’s DeFi pontszám a platformkockázat értéke, amely összehasonlítható a protokollok között, hogy jobban tájékoztassák a felhasználók döntéseit, amikor a DeFi alkalmazások között választanak.

A hálózat állapotának figyelése: Egyéni felhasználók számára

A hitelezési platformokon a felhasználók betétei vannak felszámolás veszélye fenyeget ha a fedezetráták az áringadozások miatt bizonyos küszöbértékek alá esnek. Az 5. ábra mutatja a Maker platformján „megharapott” alapok összegét. 2018 novemberében és 2020 márciusában több mint 17 millió USD fedezetet számoltak fel a Makeren, amikor az ETH árai történelmi mélypontra kerültek (~ 110 USD / ETH 2018 novemberében és ~ 105 USD 2020 márciusában)..

Megfelelő felügyeleti eszközökkel a felhasználók jobban megvédhetik magukat attól, hogy a hitelezési platformokon az automatizált felszámolások nem szívesen részesüljenek. A hitelezési termékek esetében a biztosítékráta szükséges szintje (betéti eszközök értéke, a kölcsönvett eszközök osztott értéke, a legtöbb esetben USD-ben mérve) határozza meg a biztonsági határt a páncélterem tulajdonosainak. Amint a fedezet értéke csökken, az arány csökken, és a tároló felszámolásra nyílik. A felhasználók nyomon követhetik a fedezeti hányadot, és dönthetnek a kölcsönök visszafizetéséről vagy betétek hozzáadásáról, hogy a páncélszekrény biztonságos állapotban legyen és a felszámolási tartományon kívül legyen. A megfigyelő eszközök jelentős szerepet játszanak a felhasználók kölcsönhatásban a hitelezési protokollokkal való magabiztos interakciójában, ha ezek az eszközök valós idejű, megbízható oracle árfolyam-hírcsatornákat biztosítanak a különböző eszközök számára annak érdekében, hogy a felhasználókat előzetesen tegyék meg..

5. ábra: Likvidációs mennyiség a Makeren

5. ábra: Likvidációs mennyiség a Makeren

A hitelezési platformokon követendő másik mutató az eszköz likviditási készletének kihasználtsági hányada. A felhasználási hányadot úgy számítják ki, hogy a fennálló adósság teljes összegét elosztják a likviditási készletben lévő kínálati mennyiséggel. Ha a pool összes pénzeszközét kölcsönveszik és nem fizetik vissza, a felhasználási arány eléri a közel 100% -ot.

A kihasználtsági arány drámai változása tükrözheti azokat a piaci változásokat (pl. A márciusi ETH-árcsökkenés), amelyek csoportos reakciókat okoznak, vagy jelezhetik a hacker lemerülésének kockázatát (például a Lendf.me eset). A 6. ábra a Maker, a Lendf.me és mások eszközhasznosítási hányadát mutatja. Márciusban láthatjuk a legtöbb platformon a kihasználtsági arányt, ami valószínűleg késleltetett reakció a március 12-i piaci eseményekre..

Az ETH árának csökkenése e protokollok többségénél a teljes ellátási érték csökkenését okozta (ha azt ETH támasztja alá), ami a felhasználási arány hirtelen megugrását okozta. Eközben, mivel a fedezetráta csökkent az ETH ára miatt, a felszámolások miatt hatalmas összegű fennálló adósságot számoltak el. Az idő múlásával ezért ezen platformok közül sokan csökkentek a kihasználtsági arányok.

A Lendf.me kiemelkedik példaként arra, hogy milyen lehet egy hack kihasználtsági arányának grafikonja. Áprilisban azt látjuk, hogy az összes token kihasználtsági aránya szinte azonnal 100% -ra emelkedik, ami azt jelzi, hogy a hacker kihasználta az ERC-777 reentrancia biztonsági rését.

6. ábra: Eszközhasznosítási arány protokollokon keresztül

6. ábra: Eszközhasznosítási arány protokollokon keresztül

A decentralizált tőzsdéken a likviditási készlet méretei segíthetik a felhasználókat abban, hogy eldöntsék, melyik platform a rugalmasabb tartalék. A DEX-ek az arbitrázslánc egyik legfontosabb kapuja, amelyet a bZx bizonyított ügy. Az Uniswap az egyik legaktívabban használt DEX, és likviditási készletei számos DeFi / DEX protokoll interfészhez kapcsolódnak. A 7. ábra mutatja az Uniswap likviditási pooljainak méretét. A legélesebb esés február 18-án következett be, ez volt a második bZx-támadás időpontja. Február 18-án csökkent az Uniswap likviditási poolja, mert a kizsákmányoló nagy mennyiségű WBTC-t kölcsönzött a bZx-en a KyberUniswap tartalékon keresztül. A második legnagyobb visszaesés március 13-án történt, amikor a kriptopiacok estek. Március 13-án az Uniswap likviditási pool csökkent, mert a kriptotulajdonosok aggódtak a piaci ingadozások miatt, és likviditásuk nagy részét kivonták az Uniswap poolból. A likviditási pool nagyságának jelentős csökkenése ellenére az Uniswap nagyon jól megvédte az elmúlt hónapok sérülékenységeit és piaci ingadozásait – demonstrálva a nagyobb likviditási pooldal rendelkező DeFi protokoll rugalmasságát.

7. ábra: Likviditási készlet mérete az Uniswap-on

7. ábra: Likviditási készlet mérete az Uniswap-on

Egy maroknyi eszköz – például medencék.fyi – segíthet a DeFi felhasználóknak abban, hogy megtalálják a legnagyobb likviditási készleteket a nagy DEX-ek között.

A hálózat állapotának figyelése: Platformok számára

A DeFi platformok kockázatainak figyelemmel kísérése rendellenességek felderítését foglalja magában. Általában a rendellenes magatartás 5 szempontból kategorizálható: 1) nagy értékű transzferek, 2) tranzakciók vagy hívások nagy gyakorisága egy funkció felé (különösen azok, amelyek nincsenek kitéve a nyilvánosságnak) rövid időn belül, 3) rögzített összegű műveletek , minden más, ugyanolyan fix időtartamon (bot), és 4) „szuperfelhasználói” műveletek több platformon és / vagy riasztóan magas alapmennyiség tulajdonjoga.

Ha rendellenes magatartást észlel, a protokollcsoportok használhatnak az intelligens szerződésben kialakított rendszergazdai vezérlőket, például:

  1. Fékek az intelligens szerződések vagy protokollok bizonyos / összes funkciójának megszüntetésére.

  2. Adjon hozzá egy függőben lévő munkamenetet néhány nagy összegű tranzakcióhoz.

  3. A gyanús tranzakciók visszaállítása.

A rendellenes viselkedés kategóriáinak részletes ismertetése:

  1. Nagy alapérték-transzferek

A láncban zajló nagy értékű akcióknak – ideértve a hitelfelvételt, a letétet, a kereskedelmet és a küszöbön túli felszámolást is – riasztásokat kell indítaniuk, mivel ez megingathatja a pool vagy a platform stabilitását, vagy gyanús mozgásokat (pénzeszközök feltörése, pénzmosás vagy támadás utáni fiat kilépés). A stabil érmék különösen jelző szerepet játszhatnak a nagy értéktranszferekben, mivel értékeiket a fiat pénzhez viszonyítják.

2. Magas gyakoriságú műveletek (ideértve a tranzakciókat vagy az egyes funkciókhoz történő hívásokat) egy bizonyos időtartamon belül

A funkcióhívások magas gyakorisága, különösen azok, amelyek nincsenek kitéve külsőleg, a támadások jelét jelenthetik. Az újbóli belépés egy tipikus támadás a pénzeszközök elvezetésére, ahol egy funkciót ugyanazon tranzakción belül többször rekurzív módon hívnak meg. Általánosabb esetben, ha a platformok összehasonlító statisztikákat gyűjtenek a szerződéshasználat normál mutatóiról (azaz egy függvényt általában „x” -es időknek hívnak), és figyelemmel kísérik azokat a tranzakciókat, ahol a számok jóval magasabbak, akkor valószínűleg fel tudják fogni a rendellenes viselkedést, amint megtörténik.

8. ábra: A Maker CDP nyílt idővel

8. ábra: A Maker CDP nyílt idővel

A 8. ábra egy nagy frekvenciájú esemény példáját mutatja a Maker platformján. 2019 harmadik negyedévében a napi CDP nyitás elérte a 8,7 ezer szintet, ami messze meghaladja a napi 172 / napi átlagot. A következő hetekben és hónapokban még néhány tétel magas CDP-értékű nyitás történt. Úgy gondoljuk, hogy ezek az adatok megugrottak kampányok megcélozva a felhasználói akvizíciókat, de ez azt mutatja, hogy a kézi lenyomás nyomot hagy, és figyelemmel kísérhetjük, hogy éberek maradjunk.

3. Fix viselkedésminta (botok észlelése)

Jogos gyakorlat, hogy egyének vagy csapatok arbitrázs botokat készítenek (néhány) DeFi protokoll használatával, de a platform fejlesztői csapatának aggályai lehetnek a botok felhasználói bázisra gyakorolt ​​hatásával kapcsolatban. Az automatizált bot viselkedésre utaló speciális szabályok és minták (rögzített műveletek száma minden más rögzített időablakban) definiálásával mechanizmusokat lehet felépíteni a botok észlelésére és azok poolra gyakorolt ​​hatásának figyelemmel kísérésére..

4. Kiváló felhasználók (bálnák)

A DeFi protokollok felhasználói bázisában lévő aktív bálnák jelentősen befolyásolhatják a rendszer stabilitását. Az általános szisztematikus biztonság másik megközelítése tehát a „szuper felhasználók” viselkedésének megértése és a lehetséges kockázatok mélyebb átgondolása..

9. ábra: A nagy DeFi felhasználók mozgása. Az Alethio Q1 DeFi jelentés grafikonja.

9. ábra: Nagy DeFi felhasználók mozgása. Az Alethio Q1 DeFi jelentés grafikonja.

Kockázatkezelési termékek

A blockchain alapú biztosítás egy ideje létezik, de az utóbbi hónapokban élesen a figyelem középpontjába került. Nexus Mutual – egy blockchain biztosítási veterán, aki cselekedett mint a bZx kizsákmányolás áldozatainak első válaszadója – és újabban Opyn (újra) kiemelkedő szereplőkké váltak ebben a szomszédos DeFi-iparban, fedezeti lehetőségként szolgálva a védett eszközökkel szemben. Alapján A háztömb, Néhány további hasonló termék a név szerint: Etherisc, iXledger, VouchForMe és aigang. Ezek a widgetek hasonló igényeket szolgálnak fel, miközben további rétegként is biztosíthatják egymást – a Nexus biztosítás Opyn opciókkal vásárolható meg, mint „viszontbiztosítás”..

A ConsenSys elindította a Codefi Compliance nevű automatizált és mozgékony szabályozási és megfelelőségi platformot a digitális eszközök számára. A Codefi Compliance a Codefi termékcsomag része, amely az üzleti folyamatok optimalizálásával és a pénzügyi eszközök digitalizálásával együttesen hatja meg a kereskedelmet és a pénzügyeket. A pénzmosás (AML) és a terrorizmus finanszírozása (CFT) elleni új generációs megoldásként a Codefi Compliance biztosítja, hogy a digitális eszközök megfeleljenek a szabályozási elvárásoknak, anélkül, hogy a joghatóságtól és a kialakítástól függetlenül veszélyeztetnék a piaci és üzleti követelményeket. Ez az egyetlen megfelelési megoldás, amelyet kizárólag az Ethereum-alapú eszközökhöz terveztek, és amelyet a ConsenSys, az Ethereum fejlesztésének vezetője épített. A Codefi Compliance fejlett megfelelési képességeket kínál, amelyek magukban foglalják a know-your -action (KYT) keretrendszereket, a magas kockázatú esetek kezelését és a valós idejű jelentést.

Tudatosság

Bár számos eszköz és erőforrás már kifejlesztve van arra, hogy az ügyfelek magabiztosabban vegyenek részt a DeFi-ben, az ökoszisztéma magasabb szintű tudatosságot kíván. Visszatekintve a februári, márciusi és áprilisi eseményekre, fontos tudomásul venni, hogy a DeFi tér:

  1. Néhány protokoll között még mindig törékeny. Annak ellenére, hogy az ökoszisztéma egésze meglehetősen rugalmas, az egyes protokollokat mégis súlyosan érintheti. Különösen a korlátozott likviditási készlet mennyisége okozhat könnyen csúszásokat.

  2. Az Ethereum „lego” architektúrájának függvényében. A DeFi az Ethereum tetején él, és továbbra is – legalábbis egyelőre – az ETH árának egészségére és stabilitására támaszkodik. Ez különösen a márciusi piaci események során bizonyult.

  3. Alakuló és következésképpen támadásra hajlamos ökoszisztéma. Amint azt az elmúlt hónapokban bekövetkezett események bizonyítják, a blockchain technológia óriási lehetősége nem védi meg attól a tendenciától, hogy hibák és támadó vektorok vannak, mint a hagyományos tech.

Mindezen események nettó eredménye azonban pozitív. És ezek a támadások nem új keletűek az Ethereum közösség számára – amint azt a hullámok is bizonyítják, amelyeket a DAO támadása 2016-ban a kriptográfiai ökoszisztémában hajtott végre. A támadások miatt a csapatok és a résztvevők többsége jobban törődött a különböző termékek biztonságával. Ezzel a tudatossággal hisszük, hogy kiforrottabb mutatókat és eszközöket fogunk kifejleszteni az igény kiszolgálására és a kockázatok elleni fedezésre.

A fejlesztői csoportok megértése, karbantartása és fejlesztése kulcsfontosságú az egész ökoszisztéma egészségi állapota és jóléte szempontjából. Mások meglévő munkájának vizsgálatlan villái kritikus következményekkel járhatnak. Miután a protokoll kiadásra került a mainnet-en, gyakorlatilag mézespotivá válik – nyitott és ki van téve minden lehetséges rosszindulatú támadásnak. Ezek a pénzügyi protokollok összetettek és értékekkel terheltek, mégis meglehetősen fiatalok, ezért különösen képesek megsérteni a felhasználók bizalmát.

Annak ellenére, hogy a DeFi protokollok biztonsági incidensei hullámzottak, az ipar még mindig elsöprő pozitív a DeFi lehetőségeiről és a lendületről, amelyet az Ethereum számára nyújt. Az objektív DeFi statisztikák támogatják a pozitív hangulatot. Az idei biztonsági eseményekre és a márciusban kezdődő jelentős piaci nyomásra reagálva a zárolt ETH csökkent a februári minden idők legmagasabb szintjéről. A szintek azonban csak 2019 decemberi számokra süllyedtek. Ezek a statisztikák, még a nagy horderejű biztonsági események ellenére is, azt sugallják, hogy a DeFi ökoszisztéma egésze meghaladta a „nincs visszatérés” bizonyos pontját. Bár az egyes protokollokba vetett bizalom megsérült, A decentralizált finanszírozás kialakulóban lévő paradigmái iránti elkötelezettség továbbra is erős.

Írta: Danning Sui és Everett Muzzy

Jogi nyilatkozat

A Codefi Data nem részesíti előnyben vagy előítélet egyik fent említett projektet sem. A megvitatott protokollok köre korlátozott, és a holisztikusabb nézet elérése érdekében tovább fogunk dolgozni a listán történő további felvételeken. Ezt a cikket soha nem szabad útmutatóként felhasználni rosszindulatú gyakorlatokhoz vagy kereskedési javaslatokhoz.

DeFiIndustry InsightNewsletter Feliratkozás hírlevelünkre a legfrissebb Ethereum hírekről, vállalati megoldásokról, fejlesztői erőforrásokról és egyebekről.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map