Follow Us
Facebooktwitteryoutube
YouTube
Promo
banner
Promo
banner

БЮЛЕТИН # 5: Мисли за DeFi Security

блог 1NewsDevelopersEnterpriseBlockchain ExplainedEvent and ConferencesPressБюлетини

Абонирайте се за нашия бюлетин.

Имейл адрес

Ние уважаваме вашата поверителност

HomeBlogCodefi

БЮЛЕТИН # 5: Мисли за DeFi Security

от Никол Адарме 12 май 2020 г. Публикувано на 12 май 2020 г.

функция codefi

Хей приятел,

Надявайки се този имейл да ви намери добре и да се приспособи (или да се адаптира) към новите ни модели на поведение. Ако се включихте в първата виртуална среща на върха на Ethereal през изминалата седмица, чухте много за значението на DeFi за Ethereum и бъдещето на мрежата с пускането на Ethereum 2.0. Затова за бюлетина за този месец решихме, че ще ви предоставим актуализации и за двете.

Въпросът за сигурността в приложенията на DeFi

2020 г. се оказа критична за екосистемата Ethereum DeFi. В допълнение към празнуването на над 1 милиард щатски долара, заключени в DeFi и важни етапи на платформата, индустрията е била обект на чести случаи на малки и големи инциденти със сигурността както в нови, така и утвърдени приложения DeFi. Събитията bZx и Maker от февруари и март бяха добре отразени, но ние събрахме някои данни и прозрение за последните събития на протоколите Uniswap и Lendf.me, по-специално около компромиса със стандарта за токени ERC-777, който позволи на хакерите да източете крипто на стойност 25 милиона долара на 18 април & 19-ти. 

Токенът imBTC е ERC-777 токен, пуснат от Токенлон, DEX, работещ по 0x протокол. Както при инцидентите Uniswap, така и при Lendf.me, хакерите са използвали уязвимост за повторно влизане, възникнала от несъвместимостта между стандарта за токени ERC-777 и протоколите DeFi. Най-общо казано, уязвимостта при повторно влизане позволява на хакера да преразходва по същество първоначалните депозити на imBTC, като ефективно им предоставя неограничен капитал за извършване на сделки или заеми.

Отмяна:

Атаката стана възможна, тъй като Uniswap V1 няма въведени мерки за защита срещу този тип атака за повторно влизане при взаимодействие със стандарта ERC-777. Общо хакерът се разплати с ~ $ 300k USD в imBTC и ETH (~ $ 141k ETH + ~ $ 160k imBTC). 

Интересното е, че този вектор на атака не е непознат за Uniswap или за крипто общността като цяло. Почти точно година преди атаката Uniswap, ConsenSys Diligence – услугата за одит на сигурността, предлагана от ConsenSys – идентифицирани и публикувани вектора за повторно влизане ERC-777. Uniswap имаше планове за справяне с вектора на атаката, както е посочено в техния Публикация в блога на 23 март за характеристиките на Uniswap V2.


диаграма 1.png

Lendf.me

Инцидентът Lendf.me използва същата уязвимост при връщане, предоставена от непълната съвместимост между кредитния протокол и стандарта за токени ERC-777, но с много по-голям успех. По време на атаката на 19 април бяха източени близо 100% от средствата на Lendf.me – над 24 милиона щатски долара.

За разлика от събитието Uniswap, откраднатите средства не бяха ограничени само до ETH и imBTC. Въпреки че по-голямата част от откраднатите средства бяха WETH ($ 10,8 млн.), USDT и HBTC компенсираха допълнителни $ 9,7 млн., Последвани от поне 16 други символа. Графиките по-долу показват разпределението на активите на компрометирани средства и месечните обеми на символи на Lendf.me, водещи до атаката на 19 април.

диаграма 2.png

диаграма 3.png

При неочакван развой на събитията хакерът (ите) на Lendf.me върна откраднатите средства в протокола, според съобщенията, защото случайно е изложил IP адрес по време на атаката. Диаграмата на Sankey по-долу показва потока на средствата след хакването. Средствата напуснаха договора Lendf.me (зелен), преминаха през договора за обработване (сив) и до адреса на хакера (черен). След разкриването на IP, хакерът прехвърли средствата обратно на администраторския адрес Lendf.me, който след това прехвърли средствата на адрес за възстановяване (и двете в лилаво). Крайната дясна част на графиката, където диаграмата се влива в много отделни потоци от фондове, отбелязва момента, в който Lendf.me върнати средства на отделни потребители.

диаграма 4.png

Какво означава това за DeFi?

Въпреки тези вълни от инциденти със сигурността на протоколите DeFi, индустрията все още е в по-голямата си част положителен за възможностите на DeFi и инерцията, която той носи в Ethereum. Обективните статистически данни на DeFi поддържат положителни настроения. В отговор на събитията в областта на сигурността през тази година и значителния натиск на пазара, започващ през март, заключеният ETH е намалял от рекордно високите стойности през февруари. Нивата обаче са спаднали само до цифрите от декември 2019 г. Тези статистики, дори и в лицето на високопоставени инциденти със сигурност, показват, че екосистемата DeFi като цяло е надминала някаква точка на „без връщане.“ Въпреки че доверието в отделните протоколи е пострадало, общата ангажираност с възникващите парадигми на децентрализираното финансиране остава силна.

По време на тези инциденти със сигурността през 2020 г. общността на Ethereum фокусира вниманието си върху начините за предотвратяване и реагиране на бъдещи събития. Най-общо казано, има стойностното предложение за всички тези хакове, възникващи при отворена технология. Без да се нуждаят от специално разрешение или достъп, одиторите на трети страни по сигурността и разработчиците на dapp са имали възможност свободно да анализират инцидентите, да предупреждават срещу други слабости и да предлагат поправки за бъдещи приложения на DeFi. Тези инциденти разкриват съвместния дух на отворения софтуер и поставят началото на по-сигурна екосистема. По-специално:

Инструменти за наблюдение на DeFi: Възползвайки се от отвореността на блокчейна Ethereum, множество публични инструменти за наблюдение, свързани с DeFi, са достъпни за обществеността, за да взаимодействат по-уверено с финансовите приложения. Codefi Inspect е инструмент с отворен код за събиране на критична информация за сигурността на протоколите DeFi, включително публични одити, подробности за администраторски ключове, зависимост от Oracle и активност по веригата. Codefi’s Резултат от DeFi е стойност на риска от платформата, която може да се сравнява между протоколите, за да информира по-добре решенията на потребителите при избора между приложения на DeFi.

Прозрачност на сигурността: Dapps стават все по-отворени за идентифицираните уязвимости в сигурността. Uniswap потвърди издаването на ERC-777 в техния Публикация в блог от март 2020 г.. Разработчик от търговския протокол Hegic публикува отворен „следкланичен” за грешка в нейния код, която направи някои средства недостъпни. Протоколът за обмен Loopring идентифицира предна уязвимост, поставя обмена на пауза, обявен на общността, и работи за отстраняването на проблема. Този вид прозрачност е от решаващо значение за изграждането на доверие сред нови и съществуващи потребители и за мащабиране на по-сигурна мрежа от протоколи DeFi.

Застраховка DeFi: Застраховката, базирана на блокчейн, съществува от известно време, но през последните няколко месеца беше поставена рязко на фокус. Nexus Mutual – ветеран от застрахователна верига – и по-скоро Опин (отново) се превърнаха в топ играчи в съседната индустрия на DeFi. Уязвимости в сигурността вероятно ще съществуват във всяка технологична област, независимо дали възникваща или съществуваща. Колкото повече защитни мерки съществуват заедно с тези технологии, толкова по-лесен е пътят към широко разпространение.

Бързи Codefi хитове

Предстоящ уебинар

CBDC и стабилни монети

14 май 2020 г.

Регистрирам

cbdc.jpg

Състояние + на + Залагане + Уебинар + Препоръчани + (1) .png

Предстоящ уебинар

Състоянието на залагане

19 май 2020 г.

Регистрирам

Съобщения

  • Ново за бюлетина и за Codefi? Разгледайте това обяснително видео за ConsenSys Codefi.

  • ConsenSys Codefi Обратна връзка: TLDR; искаме да стигнем до ще ви отнеме 3 минути.

  • API на Data Codefi: С API за данни разработчиците, инвеститорите, бизнесите и ентусиастите на DeFi вече могат да извличат данни за риска в лесен за интегриране формат, който по-добре поддържа техните проекти. Свържете се, за да започнете с API. 

  • Скорост на DeFi: CodeFi пуска нов инструмент за управление на риска при кредитиране на DeFi: Проверете. Издаден миналия месец, Codefi Inspect е проект с отворен код, посветен на прозрачността на протокола в DeFi, проследяване на всички публични одити, подробности за администраторски ключове, зависимост от Oracle и активност по веригата. 

  • Очаквате с нетърпение Ethereum 2.0? Codefi Activate създаде калкулатор Eth2, за да помогне на притежателите на ETH да започнат да определят какъв вид награди биха могли да очакват от залагането в мрежата. Изчислете потенциалните си ETH награди.

  • Докладът на Codefi Asset за използването на блокчейн за овластяване на общинските образователни системи при преминаването им към дигитално обучение по времето на COVID-19. 

  • Неотдавнашен доклад на ConsenSys Codefi изследва предпочитанията, очакванията и болезнените точки на притежателите на ETH, тъй като те очакват старта на Ethereum 2.0 и възможността да залагат ETH. Прочетете Eth2 Staking Ecosystem Report.

Прожектор на Codefi:

Докладът за екосистемата за залагане на Ethereum 2.0

Стартирането на Ethereum 2.0 (Eth2) през 2020 г. представлява критичен и дългоочакван важен етап в мрежата. Успешното стартиране на мрежата ще изисква от притежателите на ETH да изберат да депозират своя ETH като залог в новата мрежа Proof of Stake. За да разбере мотивацията, предпочитанията и поведението на притежателите на ETH, които планират (или не) да залагат на Ethereum 2.0, Codefi Activate анкетираните ~ 300 притежатели на ETH. Тези заключения са събрани в отчета за екосистемата за залагане на Ethereum 2.0. 

Сред всички респонденти над 65% планират да залагат на Ethereum 2.0. Само 17% са или нерешени (14%), или са решили да не залагат (~ 3%). От респондентите, които планират да залагат, те са разделени приблизително 50/50 между планирането да стартират свои собствени валидаторни възли и планирането да използват услуга за залагане на трета страна. И двата сегмента обаче планират да залагат около 50% от собствения си ETH.

диаграма 5.png

Ключов стимул за участието на притежателите на ETH в мрежата Ethereum 2.0 е потенциалът за блокови награди под формата на ETH. Когато бъдат запитани какъв процент възвръщаемост би потвърдил тяхното участие в Eth2, респондентите, които планират да проведат свои собствени валидатори, ще изискват средно 5,8% възвръщаемост (от заложен ETH). Тези, които планират да използват услуга на трета страна, обаче ще изискват малко по-високи награди – средно 7,6%. Това несъответствие с 2% може да се дължи на тези, които планират да използват факторинг на трета страна в очакване, че тези услуги ще налагат такса за използване. Интересното е, че хората, които в момента не са решили дали да залагат или не, ще изискват още по-високи награди, за да ги убедят да започнат да залагат: 9,4%. С първоначалния Ethereum 2.0 възнаграждава това може да варира до 20%, има значителен потенциал за улавяне на тези нерешени притежатели на ETH.

Остатъкът от Codefi Activate Ethereum 2.0 Staking Report подробно описва предпочитанията на тези сегменти за притежатели на ETH и идентифицира ключови услуги за вземане на Eth2 и доставчиците на клиенти трябва да вземат предвид, когато предлагат продукти на потребителите. От особено значение е продължаващата необходимост от образование относно механизмите на Ethereum 2.0, неговата сигурност и икономическите стимули. По-малко от 35% от анкетираните посочват „добро“ разбиране за икономиката на Ethereum 2.0. 

Изтеглете отчета за екосистемата Eth 2.0 Staking

В интерес на насърчаването на образованието и разбирането, ConsenSys стартира базата знания Ethereum 2.0, за да предоставя непрекъснато най-актуалната информация за Ethereum 2.0 както за техническа, така и за нетехническа аудитория.

Посетете базата знания Eth 2.0

Заключителни бележки

Благодаря, че се придържате към този бюлетин. Надяваме се, че сте имали възможност да се настроите през изминалата седмица на първата виртуална среща на върха на Ethereal. Ако не (или просто искате отново да гледате любимите си), разгледайте качени речи и панели от цялата екосистема Ethereum и blockchain, включително Codefi, на Ефирен YouTube. Междувременно, последвайте ни Twitter, научете повече на нашия уебсайт и ни уведомете вашите мисли. Независимо дали се интересувате от работа с нас, за нас или просто искате да поздравите, моля не се колебайте да се свържете с нас.

Препрати това съобщение? Регистрирай се за месечни актуализации.

До следващия път, 

Екипът на ConsenSys Codefi

DeFiNewsletterProduct UpdateNewsletter Абонирайте се за нашия бюлетин за най-новите новини на Ethereum, корпоративни решения, ресурси за разработчици и други.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Adblock
detector