Ar „BZx“ paskolos išpuoliai rodo „DeFi“ pabaigą?

Šios savaitės pradžioje decentralizuoto skolinimo protokolas „bZx“ buvo panaudotas tiesioginių „greitųjų paskolų“ atakose. Nors abu išnaudojimai buvo skirtingi, galutiniai rezultatai liko tie patys. Iš viso iš platformos buvo surinkta 954 000 USD. Bet kas tiksliai nutiko? Ar tai buvo išnaudojimas, paprastas arbitražo atvejis ar piktavališkas išpuolis? O kur čia decentralizuoti finansai?

„DeFi“ sektoriui tai nebuvo gera PR savaitė. Kai kuriems judėjimas, žadantis alternatyvą senajai finansų sistemai, pradeda atrodyti kaip nepavykęs eksperimentas. Kitiems išpuoliai buvo šiek tiek daugiau nei užklupti ne toje prekybos vietoje. Nepaisant semantikos, neatsižvelgiant į tai, ar šios atakos įvyko iš teisėtos spragos, ar dėl apgalvoto išpuolio, tikėjimas „DeFi“ yra tikrai išbandomas.

Pirmasis išpuolis

Vasario 14 d. Įvyko pirmasis išnaudojimas. A pomirtinis sukauptas nuo įvykio, „bZx“ įkūrėjas Kyle’as Kistneris aprašo tikslų atakos momentą. „BZx“ komanda dalyvavo ETHDenver konferencijoje – „Ethereum Soiree“, kuri ironiškai švenčia geriausius „DeFi“. Pavojaus varpai pradėjo skambėti, kai komanda gavo informaciją apie „įtartiną“ sandorį. „Mes iš karto grįžome namo iš„ tBTC “laimingos valandos“, – rašo Kistneris.

Kistneris pranešė bendrovės „Telegram“ grupės nariams, paaiškindamas, kad „bZx“ sutartyje įvykdytas „išnaudojimas“, kuris buvo greitai sustabdytas, ir kad „ETH dalis“ buvo prarasta. Faktinis per pirmąjį incidentą surinktas kiekis buvo 1193 eteriai (ETH). Pritariama „Binance“ boso Changpengo Zhao, bZx, žodžiams patvirtino kad vartotojų lėšos buvo „SAFU“.

Vartotojų laimei, „bZx“ veikia nesėkmingai – renka 10% visų paskolų davėjų uždirbtų palūkanų ir sujungia jas į draudimo fondą. Taigi nuostoliai „bZx“ vartotojams yra nominalūs. Tačiau „bZx“ platformai ataka kainavo nemažas reputacijos išlaidas.

Tempiant užapvalą

Bet kaip užpuolikui pavyko iš nieko realizuoti 1193 ETH pelną? Norėdami naudoti šiek tiek redukcinį paaiškinimą, užpuolikas sukūrė operacijų tinklą, kad įvykdytų „pump and dump“.

Štai kaip tai sumažėjo:

Pirmiausia užpuolikas paėmė 10 000 ETH paskolą „DeFi“ paskolų platformoje „dYdX“. Tada jie padalino paskolą tarp „bZx“ ir kitos skolinimo platformos, žinomos kaip „Compound“. „Compound“ išsiųsta ETH buvo naudojama užtikrinant dar vieną paskolą 112 apvyniotam „Bitcoin“ (WBTC). Tuo tarpu bZx priskirtas 1 300 ETH buvo naudojamas sutrumpinti ETH WBTC naudai.

Pasitelkdamas mažą decentralizuoto mainų, žinomo kaip „Uniswap“, kuris dalijasi su „bZx“ kainų duomenimis per „DeFi“ tinklą „Kyber“, likvidumą, užpuolikui pavyko išpumpuoti „Uniswap“ WBTC kainą per „bZx“ talpinamą WBTC kainą..

Tada antagonistas, naudodamasis padidinta rinkos norma, išmetė iš „Compound“ pasiskolintą WBTC į „Uniswap“. Turėdamas pelną užpuolikas visiškai grąžino pradinę „DYdX“ paskolą ir uždirbo šaunų 1193 ETH pelną, palikdamas „bZx“ paskolą su nepakankama įkaitu..

Bet štai kicker: Viskas, kas išdėstyta aukščiau, buvo įvykdyta vienu sandoriu – įvykdyta naudojant „DeFi“ produktą, vadinamą „greita paskola“.

Greitos paskolos ir sutarčių klaidos

Greitosios paskolos leidžia prekybininkams imti paskolą be jokio pagrindo – t. Y. Pašalina užstato poreikį. Jie tai gali padaryti, nes paskola grąžinama nedelsiant. Arbitrai naudoja greitąsias paskolas kartu su išmaniosiomis sutartimis, kurias koduoja atlikti apskaičiuotus arbitražo sandorius: vienu metu pirkti ir parduoti turtą skirtingose ​​rinkose..

Greitosios paskolos, vykdomos iš esmės, yra parduodamos kaip „nerizikingos“, nes „Ethereum“ tinklas pašalina bet kokį paskolos negrąžinimą grąžindamas pradinę operaciją. Dėl atominės prigimties nė viena šalis negalėjo sulaikyti greitosios paskolos atakos, kol ji vyko. Zhuoxun Yin, „dYdX“ – biržos, kur buvo pasiskolinta greitoji paskola, operacijų vadovas, sakė „Cointelegraph“:

„Mes nieko nežinojome oficialiai, kol viskas neatsitiko. Šie sandoriai yra atominiai, tai reiškia, kad visas dalykas įvykdomas arba nepavyksta “.

Tačiau užpuoliko žinioje buvo ne tik greitosios paskolos. Jie taip pat pasinaudojo „bZx smart“ sutarties pažeidžiamumais. Kistneris paaiškino „Cointelegraph“, kaip buvo leista įvykti pradiniam išpuoliui:

„Pirmasis išpuolis buvo gana paprastas tuo, kad jie padarė didelę prekybą, kuri valgė skolintojų lėšas. Viršutinėje rietuvės dalyje buvo uždėta vėliava, leidžianti prekybai apeiti patikrinimą, ar jie kelia pavojų skolintojų lėšoms.

Kistnerio paminėtas apeinamas čekis yra tas pats, į kurį savo išsamioje nuorodoje atkreipia dėmesį buvęs „Google“ inžinierius Korantinas Auguste analizė išpuolio: „Užpuolikas išnaudojo klaidą„ bZx “, kuri sukėlė didžiulę sumą„ Uniswap “prekybai už 3 kartus didesnę kainą.“

Kaip paaiškėjo, nepaleido esminė funkcija patikrinti, ar įvyko rinkos paslydimas. Jei taip būtų, tai būtų anuliavusi užpuoliko bZx padėtį – prekyba taptų neveiksminga. Užtat užpuolikui buvo leista netrukdomai tęsti.

Antras turas

Po keturių dienų, vasario 18 d., „BZx“ dar tapo auka kitas ataka, privertusi dar vieną protokolo sustabdymą. Panašiai kaip ir pirmosios, greitosios paskolos buvo naudojamos siekiant palengvinti „Uniswap“ išpardavimą – šį kartą užpuolikas užsidėjo 2378 ETH.

Šį kartą užpuolikas pasiėmė greitą 7500 ETH paskolą „bZx“, prekiaudamas 3 517 ETH už 940 000 „Synthetix USD“ (sUSD) – stabili moneta susieta su vienu JAV doleriu. Tada užpuolikas panaudojo 900 ETH, kad įsigytų dar vieną sUSD raundą „Kyber“ ir „Uniswap“, o tai pakėlė daugiau nei 2,5 karto didesnę nei rinkos kursą..

Tada užpuolikas, naudodamasis išpūstu sUSD, pasiskolintu iš „Synthetix“, užpuolikas paėmė 6796 ETH paskolą „bZx“. Naudodamas ką tik pasiskolintą ETH ir ETH, likusią iš pradinės paskolos, užpuolikas grąžino 7500 ETH greitosios paskolos ir vėl prarado pelną, šį kartą siekdamas 2378 ETH..

Tai paliko „bZx“ dar vieną nepakankamai užtikrintą paskolą. Laimei, tai padengė draudimo fondas.

Kaltindamas orakulą

Užuot pakartojus originalią klaidą, kuri buvo užtaisyta po pirmojo išpuolio, antrasis turas, matyt, buvo manipuliavimo orakulu rezultatas.

„Oracle“ yra „blockchain“ pagrindu sukurti tarpininkai, teikiantys išorinius duomenis į išmaniąsias sutartis. Šiuo atveju „bZx“ kainos orakulas perdavė padidintą sUSD kainą be patikros, todėl „bZx“ manė, kad 6769 ETH paskola buvo visiškai užtikrinta. „Blockchain“ saugos firmos „PeckShield“ analizė, apibendrinta orakulo išnaudojimas taip:

„„ Oracle “manipuliavimas iš esmės padidina paveikto žetono, t. Y., SUSD, kainą ir daro jį nepaprastai vertingu„ bZx “skolinimo sistemoje. Tada užpuolikas gali tiesiog įnešti anksčiau įsigytą ar sukauptą sUSD kaip užstatą, kad pasiskolintų WETH pelno (užuot pardavęs ar dempingas) “.

Yinas pažymi, kad naudodamas „Kyber“ (ir pagal tarpinį serverį „Uniswap“) kaip kainų orakulą, „bZx“ galbūt kėlė problemų: „Protokolai turėtų naudoti aukštos kokybės orakulus, o ne tiesiogiai grandinėje esančius DEX kaip kainų orakulus. Orakulai, kuriuos palaiko ne grandinės žurnalistai, būtų saugesni “. Jis taip pat parodė pirštą į DEX, palaikančius mažo likvidumo turtą:

„Daugelis DEX palaiko turtą, kuris yra labai nelikvidus. Likvidumas reiškia, kad rinkas galima daug lengviau perkelti. Likvidumas turi pagerėti, o aš tikiu, kad tai įvyks laikui bėgant – yra techninių ir rinkos veiksnių, kuriuos reikia įveikti “.

Nepastovumas kartu su mažu likvidumu gali pasirodyti klastingas derinys. Šiuo atveju rinkos slydimas buvo neišvengiamas, o užpuolikas tai žinojo. Laimei, nuo šio įvykio „bZx“ priėmė sprendimą bendradarbiauti su decentralizuotu „Oracle“ tinklu „Chainlink“ ir pasinaudojo savo kainų duomenimis.

Įsilaužimas, ataka ar teisėtas arbitražas?

Kai kuriems šie atvejai yra šiek tiek daugiau nei įgudę arbitražas prekyba. Tačiau realybė nėra tokia paprasta. Užpuolikas pasinaudojo keliomis „bZx“ protokolų spragomis, pasinaudodamas mažo likvidumo rinkomis ir taikydamas akivaizdžią manipuliavimo taktiką. Kistneris, „bZx“ įkūrėjas, „Cointelegraph“ sakė, kad tai supjaustytas ir išdžiovintas atvejis:

„Tai yra ataka, nes ji naudojo mūsų kodą taip, kad jis nebuvo sukurtas netikėtam rezultatui, sukūrusiam įsipareigojimus trečiosioms šalims.“

Dalindamasis panašia nuomone, Augustė teigia, kad nesvarbu, kaip jūs į tai žiūrėtumėte, tai buvo kenkėjiškos atakos:

„Abiem atvejais„ bZx “kode buvo išnaudotos klaidos, todėl tai tikrai buvo išpuoliai ir negali būti laikomi protingu arbitražu ar kuo nors teisėtu.“

„Cointelegraph“ taip pat kreipėsi į blokų grandinės analizės firmos „Merkle Science“ pasaulinio verslo plėtros viceprezidentą Thomasą Glucksmanną. Panašiai kaip ir kiti, Glucksmannas įvykį klasifikavo kaip įsilaužimą, teigdamas, kad jis vadovaujasi tais pačiais principais kaip ir vagystės bet kokiomis kitomis priemonėmis.

Tačiau jis greitai atkreipė dėmesį į „bZx“ ir užsiminė, kad visi atakų perteikėjai turėjo būti užtaisyti anksčiau, ypač atsižvelgiant į pamokas, išmoktas iš decentralizuoto autonominės organizacijos įsilaužimo 2016 m..

„Kūrėjai paprastai gali išvengti tokių scenarijų, užtikrindami išsamų protingo sutarčių audito procesą. Nuostabu, kad kai kurios komandos vis dar nesimokė iš DAO žlugimo pasekmių ir rodo dabartinį „DeFi“ paslaugų trapumą “.

Vis dėlto Glucksmannas visiškai nerašė bZx. Kalbant apie žalos kontrolę, jis sako, kad tiek pomirtinis, tiek draudimo fondas labai palengvina smūgį.

O kaip dabar apie „DeFi“?

Po paskutinio „bZx“ išpuolio „DeFi“ sektorius pranešė apie reikšmingą užfiksuoto turto praradimą, kuris sumažėjo maždaug 140 mln. JAV dolerių, palyginti su vasario 18 d. Didžiausiu 1,2 mlrd. USD. Likus kelioms savaitėms iki išpuolių, „DeFi“ pasigyrė 1 mlrd. turtas. Šis pablogėjimas buvo ypač paplitęs užrakintame eteryje, kur nuostoliai sudarė apie 200 000 ETH, rodo analizės svetainės duomenys Defipulse.com.

Bendra vertė užrakinta „DeFi“

Nepaisant to, Kistneris nemato šių išnaudojimų kaip DeFi mirties. Vietoj to jis siūlo, kad tai tik ekosistemos vystymosi dalis:

„NASA nesamdė žmonių, kurie visi parašė tobulą kodą, kad galėtų paleisti kosminius maršrutus. Tai buvo griežti procesai, vykę per visą kodo kūrimo ciklą. Turime elgtis su „DeFi DApp“ paleidimu kaip ir su šaudyklės į kosmosą paleidimu “.

Kol „DeFi“ dar tik formuojasi, kažkada nišinė rinka ir toliau bręsta, lipdama į pagrindinio dėmesio priešakį. Tačiau sektorius veikia be tinkamos smėlio dėžės – neveikimo, kuris privalo sukelti tolesnę žagsėjimą.

Susijęs: „DeFi“ pradeda judėti iš nišos rinkos į pagrindinius finansus

„Glucksmann“, nors prieš paleidimą reikia daugiau dėmesio skirti „mūšio bandymo“ protokolams, taip pat reikia surengti diskusijas dėl tinkamo reguliavimo. Taigi per anksti nurašyti sektorių:

„Iki šiol vieninteliai pelningi verslo modeliai kriptografinėje erdvėje buvo kasyba, mainai ir likvidumo užtikrinimas. Kitos galėtų būti tokios „DeFi“ paslaugos kaip paskolos. Daugelyje jurisdikcijų trūksta „DeFi“ reguliavimo trūkumų, taip pat kyla galimybių ir rizika, todėl „DeFi“ paslaugų vartotojai kol kas turi būti pasirengę tai priimti “.

Galima teigti, kad deramo patikrinimo procedūros, tokios kaip „Pažink savo klientą“ ir „Pinigų plovimo prevencijos“ patikrinimai, tam tikru būdu atbaidytų blogus veikėjus. Nors, atsižvelgiant į iš esmės decentralizuotą „DeFi“ pobūdį, jo šalininkai greičiausiai sukiltų dėl pačios idėjos.