עלון מס ‘5: מחשבות על אבטחת DeFi

בלוג 1חדשות מפתחיםיזם הסבר על בלוקצ’יין אירועים וכנסים לחץעלונים

הירשם לניוזלטר שלנו.

כתובת דוא”ל

אנו מכבדים את פרטיותך

HomeBlogCodefi

עלון מס ‘5: מחשבות על אבטחת DeFi

מאת ניקול אדארמה 12 במאי 2020 הועלה ב 12 במאי 2020

תכונת קודפי

היי חבר,

בתקווה שדוא”ל זה ימצא אותך טוב ומותאם (או מסתגל) לדפוסי ההתנהגות החדשים שלנו. אם התכוונתם לפסגת ה- Ethereal הווירטואלית הראשונה בשבוע האחרון, שמעתם הרבה על המשמעות של DeFi ב- Ethereum ועתיד הרשת עם השקת Ethereum 2.0. אז לעלון החודש, חשבנו שנביא לכם עדכונים על שניהם.

שאלת האבטחה ביישומי DeFi

שנת 2020 הוכיחה שנה קריטית למערכת האקולוגית של Ethereum DeFi. בנוסף לחגיגה של למעלה ממיליארד דולר הנעולים ב- DeFi ואבני דרך משמעותיות בפלטפורמה, הענף היה נתון למופעים תכופים של אירועי ביטחון קלים וגדולים ביישומי DeFi חדשים ומבוססים. אירועי bZx ו- Maker בחודשים פברואר ומארס סוקרו היטב, אך השגנו נתונים ותובנות על האירועים האחרונים בפרוטוקולים Uniswap ו- Lendf.me, במיוחד סביב הפשרה של תקן האסימונים ERC-777 שאיפשר להאקרים לנקז קריפטו בשווי 25 מיליון דולר ב -18 באפריל & 19. 

אסימון imBTC הוא אסימון ERC-777 ששוחרר על ידי טוקלון, DEX הפועל על פרוטוקול 0x. בשני אירועי Uniswap וגם ב- Lendf.me, ההאקרים (ים) ניצלו פגיעות חוזרת שנבעה מחוסר התאמה בין תקן אסימון ERC-777 לבין פרוטוקולי DeFi. באופן כללי, פגיעות החידוש איפשרה להאקר להוציא מחדש פיקדונות ראשוניים של imBTC, ולמעשה סיפק להם הון בלתי מוגבל לביצוע עסקאות או הלוואות..

Uniswap:

ההתקפה התאפשרה מכיוון של- Uniswap V1 אין אמצעים כדי להגן מפני סוג זה של מתקפת חידוש בעת אינטראקציה עם תקן ERC-777. בסך הכל, ההאקר הסתפק בכ- $ 300k USD ב- imBTC ו- ETH (~ $ 141k ETH + ~ $ 160k imBTC). 

מעניין לציין כי וקטור התקפה זה לא היה ידוע ליוניסאפ ולא לקהילת הצפנה בכלל. כמעט בדיוק שנה לפני התקפת Uniswap, ConsenSys Diligence – שירות ביקורת האבטחה שמציע ConsenSys – זוהה ופורסם וקטור ההתקפה לחזרת ERC-777. Uniswap תכנן להתמודד עם וקטור ההתקפה, כמתואר בהן 23 במרץ פוסט בבלוג על התכונות של Uniswap V2.


תרשים 1.png

Lendf.me

אירוע ה- Lendf.me ניצל את אותה פגיעות של כניסה חוזרת שהתקבלה בזכות התאימות המלאה בין פרוטוקול ההלוואות לבין תקן האסימון ERC-777, אך במידה רבה יותר של הצלחה. כמעט 100% מהכספים של Lendf.me – מעל 24 מיליון דולר – נוקזו במהלך ההתקפה ב -19 באפריל.

שלא כמו באירוע Uniswap, הכספים הגנובים לא הוגבלו רק ל- ETH ו- imBTC. אף על פי שרוב הכספים הגנובים היו WETH (10.8 מיליון דולר), USDT ו- HBTC פיצו 9.7 מיליון דולר נוספים, ואחריהם לפחות 16 אסימונים אחרים. הגרפים שלהלן מציגים את חלוקת הנכסים של כספים שנפרצו ואת נפחי האסימונים החודשיים ב- Lendf.me לקראת ההתקפה ב -19 באפריל.

תרשים 2.png

תרשים 3.png

בתפנית לא צפויה, האקר (ים) Lendf.me החזיר את הכספים הגנובים לפרוטוקול, על פי הדיווחים משום שהם חשף בטעות כתובת IP במהלך ההתקפה. התרשים של Sankey להלן מראה את שטף הכספים לאחר הפריצה. קרנות עזבו את חוזה Lendf.me (ירוק), עברו על חוזה המטפל (אפור), וכתובת ההאקר (שחור). לאחר חשיפת ה- IP, האקר העביר את הכספים בחזרה לכתובת הניהול Lendf.me, שהעבירה את הכספים לכתובת הבראה (שניהם בסגול). הקצה הימני ביותר של הגרף, שבו התרשים זורם לזרמי קרנות בודדים רבים, מסמן את הרגע בו Lendf.me החזיר כספים למשתמשים בודדים.

תרשים 4.png

מה זה אומר עבור DeFi?

למרות גלי האירועים הביטחוניים הללו בפרוטוקולי DeFi, הענף עדיין מכריע באופן גורף חִיוּבִי על ההזדמנויות של DeFi והמומנטום שהוא מביא לאת’ריום. סטטיסטיקה אובייקטיבית של DeFi תומכת ברגש חיובי. בתגובה לאירועי הביטחון השנה ולחצי שוק ניכרים שהתחילו בחודש מרץ, ETH הנעול ירד משיא כל הזמנים בפברואר. עם זאת, הרמות צנחו רק למספרי דצמבר 2019. נתונים סטטיסטיים אלה, אפילו לנוכח תקריות אבטחה בולטות, מצביעים על כך שהמערכת האקולוגית של DeFi בכללותה עלתה על נקודה מסוימת של “אין חזרה”. למרות שהאמון בפרוטוקולים בודדים נפגע, המחויבות הכוללת לפרדיגמות המתהוות של מימון מבוזר נותרה חזקה.

במהלך תקריות אבטחה אלה ב -2020, קהילת את’ריום מיקדה את תשומת הלב בדרכים למנוע ולהגיב לאירועים עתידיים. באופן כללי, יש את הצעת הערך של כל הפריצות האלה בטכנולוגיה פתוחה. מבלי להזדקק לאישור או גישה מסוימים, מבקרי אבטחה של צד שלישי ומפתחי דאפים הצליחו לנתח באופן חופשי את האירועים, להזהיר מפני חולשות אחרות ולהציע תיקונים ליישומי DeFi בעתיד. תקריות אלה חושפות את האתוס השיתופי של תוכנות פתוחות, ומציבות את הבמה למערכת אקולוגית מאובטחת יותר. באופן מיוחד:

כלי ניטור DeFi: מיצוי הפתיחות של בלוקצ’יין את’ריום, שורה של כלי ניטור הקשורים DeFi זמינים לציבור לאינטראקציה רבה יותר עם יישומים פיננסיים.. קודפי בדוק הוא כלי קוד פתוח לאגר מידע אבטחה קריטי אודות פרוטוקולי DeFi, כולל ביקורת ציבורית, פרטי מפתח מנהל, תלות אורקל ופעילות ברשת. Codefi’s ציון DeFi הוא ערך של סיכון פלטפורמה שניתן להשוות בין פרוטוקולים בכדי ליידע טוב יותר את החלטות המשתמשים בבחירה בין יישומי DeFi.

שקיפות ביטחונית: דפים הופכים פתוחים יותר לגבי נקודות תורפה מאובטחות. Uniswap הודה בנושא ה- ERC-777 ב פוסט בבלוג במרץ 2020. מפתח מפרוטוקול המסחר Hegic פרסם ‘שלאחר המוות’ פתוח על באג בקוד שלה שהפך כמה כספים לנגישים. פרוטוקול Exchange Loopring זיהה פגיעות חזיתית, השהה את חילופי הדברים, הודיעה לקהילה, ועבד לתיקון הבעיה. סוג זה של שקיפות הוא חיוני לבניית אמון בקרב משתמשים חדשים וקיימים ולהגדלת רשת מאובטחת יותר של פרוטוקולי DeFi.

ביטוח DeFi: ביטוח מבוסס בלוקצ’יין קיים זמן מה, אך הובא למוקד חד בחודשים האחרונים. נקסוס הדדי – ותיק ביטוח בלוקצ’יין – ולאחרונה אופין התגלו כשחקנים מובילים בענף DeFi הסמוך הזה. סביר להניח כי קיימות פגיעות ביטחוניות בכל תחום טכנולוגי, בין אם הוא מתפתח או בעל תפקיד. ככל שאמצעי הגנה יותר קיימים לצד טכנולוגיות אלה, הדרך לאימוץ נרחב תהיה קלה יותר.

להיטים קודפי מהירים

וובינר הקרוב

CBDCs ו Stablecoins

14 במאי 2020

להירשם

cbdc.jpg

State + of + Staking + Webinar + Featured + (1) .png

וובינר הקרוב

מדינת ההימור

19 במאי 2020

להירשם

הכרזות

  • חדש לניוזלטר ולקודפי? לבדוק סרטון ההסבר הזה על ConsenSys Codefi.

  • משוב על ConsenSys Codefi: TLDR; אנחנו רוצים להגיע מכיר אותך טוב יותר וזה ייקח שלוש דקות.

  • ממשק API של Codefi Data: בעזרת ממשק ה- API של נתונים, מפתחים, משקיעים, עסקים וחובבי DeFi יכולים כעת לאחזר נתוני סיכון בפורמט קל לשילוב שתומך טוב יותר בפרויקטים שלהם. צור קשר כדי להתחיל עם ה- API. 

  • שיעור דה-פי: CodeFi משיקה כלי ניהול סיכוני הלוואות חדש של DeFi: בדוק. שפורסם בחודש שעבר, Codefi Inspect הוא פרויקט קוד פתוח המוקדש לשקיפות פרוטוקולים ב- DeFi, ועוקב אחר כל הביקורות הציבוריות, פרטי מפתח הניהול, תלות אורקל ופעילות ברשת.. 

  • מצפה ל- Ethereum 2.0? Codefi Activate יצר מחשבון Eth2 שיעזור לבעלי ETH להתחיל לקבוע איזה סוג של תגמולים הם יכולים לצפות מההימור ברשת. חשב את תגמולי ה- ETH הפוטנציאליים שלך.

  • הדו”ח של Codefi Asset על השימוש בבלוקצ’יין להעצמת מערכות חינוך עירוניות כאשר הם עוברים למידה דיגיטלית בזמן COVID-19. 

  • דו”ח שפורסם לאחרונה על ידי ConsenSys Codefi בוחן את ההעדפות, הציפיות ונקודות הכאב של מחזיקי ETH כשהם מסתכלים קדימה על השקת Ethereum 2.0 וההזדמנות להמר ETH. קרא את דו”ח המערכת האקולוגית של Eth2.

זרקור קודפי:

דו”ח המערכת האקולוגית של Ethereum 2.0

השקתו של Ethereum 2.0 (Eth2) בשנת 2020 מציגה אבן דרך רשת קריטית וציפית. ההשקה המוצלחת של הרשת תדרוש מבעלי ETH לבחור להפקיד את ה- ETH שלהם כנתח ברשת Proof of Stake החדשה. כדי להבין את המניעים, ההעדפות וההתנהגויות של מחזיקי ETH המתכננים (או לא) להתערב ב- Ethereum 2.0, Codefi Activate נסקר ~ 300 בעלי ETH. מסקנות אלה נאספו לדוח המערכת האקולוגית של Ethereum 2.0. 

בקרב כל הנשאלים, למעלה מ -65% מתכוונים להחזיק את היתרון ב- Ethereum 2.0. רק 17% היו מתלבטים (14%) או שהחליטו שלא להפקיד (~ 3%). מבין הנשאלים המתכננים להימור, הם מפוצלים בערך 50/50 בין תכנון להפעלת צמתים מאמתים שלהם לבין תכנון להשתמש בשירות ההימורים של צד שלישי. עם זאת, שני המגזרים מתכננים להפקיד כ- 50% מה- ETH שבבעלותם.

תרשים 5.png

תמריץ מרכזי להשתתפות מחזיקי ETH ברשת Ethereum 2.0 הוא הפוטנציאל לתגמולי חסימות בדמות ETH. כשנשאלו מה אחוז ההחזר שיאמת את השתתפותם ב- Eth2, המשיבים המתכננים להריץ את המאמתים שלהם ידרשו בממוצע 5.8% החזרות (של ETH שהוקצב). אולם מי שמתכנן להשתמש בשירות צד ג ‘ידרוש תגמולים מעט גבוהים יותר – בממוצע 7.6%. פער זה של 2% יכול להיות מאלה שמתכננים להשתמש במפעל צד ג ‘מתוך ציפייה ששירותים אלה יגבו תשלום עבור השימוש. מעניין שאנשים שמתלבטים כרגע אם להימצא או לא ידרשו תגמולים גבוהים עוד יותר כדי לשכנע אותם להתחיל להימצא: 9.4%. עם Ethereum 2.0 הראשוני מתגמל זאת יכול לנוע עד 20%, קיים פוטנציאל רב לתפוס את מחזיקי ה- ETH המתלבטים הללו.

יתרת דו”ח ההימור של Codefi Activate Ethereum 2.0 מפרט את ההעדפות של פלחי מחזיקי ETH אלה ומזהה את המפתחות העיקריים של שירות Eth2 ושספקי לקוחות צריכים לקחת בחשבון בעת ​​הצעת מוצרים לצרכנים. יש לציין במיוחד את הצורך המתמשך בחינוך סביב מנגנוני Ethereum 2.0, ביטחונו והתמריצים הכלכליים. פחות מ -35% מהנשאלים הצביעו על הבנה ‘קולית’ בכלכלת Ethereum 2.0. 

הורד את דו”ח המערכת האקולוגית של Eth 2.0

לצורך קידום חינוך והבנה, ConsenSys השיקה את בסיס הידע Ethereum 2.0 כדי לספק ברציפות את המידע העדכני ביותר של Ethereum 2.0 עבור קהלים טכניים ולא טכניים..

בקר באתר הידע Eth 2.0

הערות אחרונות

תודה שעברת עלון זה. אנו מקווים שהייתה לך ההזדמנות להתכוונן בשבוע האחרון לפסגת ה- Ethereal הווירטואלית הראשונה. אם לא (או אם אתה רק רוצה לצפות שוב במועדפים שלך), בדוק נאומים ופאנלים שהועלו מכל רחבי האתריום והמערכת האקולוגית של בלוקצ’יין, כולל Codefi, ב- יוטיוב אתרי. בינתיים, עקבו אחרינו טוויטר, למידע נוסף באתר שלנו והודיע ​​לנו על מחשבותיך. בין אם אתם מעוניינים לעבוד איתנו, עבורנו, או שסתם תרצו להגיד שלום, אתם מוזמנים ליצור איתנו קשר.

העביר את ההודעה הזו? הירשם לעדכונים חודשיים.

עד הפעם הבאה, 

צוות Codefi של ConsenSys

DeFiNewsletter עדכון מוצר ניוזלטר הירשם לניוזלטר שלנו לקבלת החדשות האחרונות של Ethereum, פתרונות ארגוניים, משאבי מפתח ועוד.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map