blog 1AktualnościDevelopersEnterpriseBlockchain ExplainedWydarzenia i konferencjePrasaBiuletyny

Zapisz się do naszego newslettera.

Adres e-mail

Szanujemy twoją prywatność

HomeBlogCodefi

NEWSLETTER # 5: Przemyślenia na temat bezpieczeństwa DeFi

Nicole Adarme, 12 maja 2020 r., opublikowane 12 maja 2020 r

funkcja codefi

Hej przyjacielu,

Mam nadzieję, że ten e-mail okaże się, że wszystko się dobrze i dostosowałeś (lub dostosujesz) do naszych nowych wzorców zachowań. Jeśli dostroiłeś się do pierwszego wirtualnego szczytu Ethereal Summit w zeszłym tygodniu, wiele słyszałeś o znaczeniu DeFi w Ethereum i przyszłości sieci wraz z uruchomieniem Ethereum 2.0. Dlatego pomyśleliśmy, że w biuletynie na ten miesiąc przedstawimy aktualne informacje na temat obu.

Kwestia bezpieczeństwa w aplikacjach DeFi

Rok 2020 okazał się krytyczny dla ekosystemu Ethereum DeFi. Oprócz świętowania ponad 1 mld USD zamkniętego w DeFi i znaczących kamieni milowych platformy, branża była często przedmiotem drobnych i poważnych incydentów bezpieczeństwa zarówno w nowych, jak i istniejących aplikacjach DeFi. Wydarzenia bZx i Maker z lutego i marca zostały dobrze omówione, ale wyciągnęliśmy trochę danych i wglądu w ostatnie wydarzenia dotyczące protokołów Uniswap i Lendf.me, w szczególności dotyczące kompromisu standardu tokenów ERC-777, który umożliwił hakerom opróżnić kryptowalutę o wartości 25 milionów dolarów 18 kwietnia & 19. 

Token imBTC to token ERC-777 wydany przez Tokenlon, DEX działający w protokole 0x. Zarówno w incydentach Uniswap, jak i Lendf.me haker (y) wykorzystali lukę w zabezpieczeniach ponownego wejścia, która wynikała z niezgodności między standardem tokena ERC-777 a protokołami DeFi. Mówiąc ogólnie, podatność na ponowne wejście pozwoliła hakerowi zasadniczo ponownie wydać początkowe depozyty imBTC, skutecznie zapewniając im nieograniczony kapitał na dokonywanie transakcji lub zaciąganie pożyczek.

Uniswap:

Atak był możliwy, ponieważ Uniswap V1 nie ma środków chroniących przed tego typu atakiem reentrancy podczas interakcji ze standardem ERC-777. W sumie haker zarobił ok. 300 tys. USD w imBTC i ETH (ok. 141 tys. USD ETH + ~ 160 tys. USD imBTC). 

Co ciekawe, ten wektor ataku nie był nieznany firmie Uniswap ani całej społeczności kryptowalut. Prawie dokładnie rok przed atakiem Uniswap ConsenSys Diligence – usługa audytu bezpieczeństwa oferowana przez ConsenSys – zidentyfikowane i opublikowane wektor ataku ponownego wejścia ERC-777. Uniswap planował zająć się wektorem ataku, jak opisano w ich Wpis na blogu z 23 marca o funkcjach Uniswap V2.


wykres 1.png

Lendf.me

Incydent Lendf.me wykorzystywał tę samą lukę w możliwości ponownego wejścia, która została udostępniona przez niepełną kompatybilność protokołu pożyczkowego ze standardem tokena ERC-777, ale z dużo większym powodzeniem. Prawie 100% środków Lendf.me – ponad 24 mln USD – zostało wyczerpanych podczas ataku 19 kwietnia.

W przeciwieństwie do wydarzenia Uniswap, skradzione fundusze nie ograniczały się tylko do ETH i imBTC. Chociaż większość skradzionych środków to WETH (10,8 mln USD), USDT i HBTC stanowiły dodatkowe 9,7 mln USD, a następnie co najmniej 16 innych tokenów. Poniższe wykresy przedstawiają dystrybucję aktywów zainfekowanych funduszy oraz miesięczne wolumeny tokenów na Lendf.me poprzedzające atak 19 kwietnia.

wykres 2.png

wykres 3.png

W nieoczekiwanym obrocie wydarzeń haker (y) z Lendf.me zwrócili skradzione fundusze do protokołu, podobno dlatego, że przypadkowo ujawniono adres IP podczas ataku. Poniższy diagram Sankey przedstawia przepływ środków po włamaniu. Fundusze opuściły umowę Lendf.me (kolor zielony), przeszły przez umowę obsługi (kolor szary) i trafiły na adres hakera (kolor czarny). Po ujawnieniu adresu IP haker przeniósł środki z powrotem na adres administratora Lendf.me, który następnie przeniósł je na adres odzyskiwania (oba zaznaczone na fioletowo). Po prawej stronie wykresu, gdzie diagram wypływa z wielu pojedynczych strumieni funduszy, zaznaczono moment, w którym Lendf.me zwrócone środki dla użytkowników indywidualnych.

wykres 4.png

Co to oznacza dla DeFi?

Pomimo tych fal incydentów bezpieczeństwa w protokołach DeFi, branża wciąż jest przytłaczająca pozytywny o możliwościach DeFi i rozmachu, jakie wnosi do Ethereum. Obiektywne statystyki DeFi potwierdzają pozytywne nastroje. W odpowiedzi na wydarzenia związane z bezpieczeństwem w tym roku i znaczną presję rynkową rozpoczynającą się w marcu, zablokowany ETH spadł z rekordowego poziomu w lutym. Jednak poziomy spadły tylko do liczb z grudnia 2019 r., Te statystyki, nawet w obliczu głośnych incydentów związanych z bezpieczeństwem, sugerują, że ekosystem DeFi jako całość przekroczył pewien punkt “ bez powrotu ”. Chociaż zaufanie do poszczególnych protokołów ucierpiało, ogólne zaangażowanie w pojawiające się paradygmaty zdecentralizowanego finansowania pozostaje silne.

Podczas tych incydentów bezpieczeństwa w 2020 roku społeczność Ethereum skupiła się na sposobach zapobiegania przyszłym wydarzeniom i reagowania na nie. Ogólnie rzecz biorąc, istnieje propozycja wartości wszystkich tych hacków występujących w otwartej technologii. Bez potrzeby posiadania specjalnego pozwolenia lub dostępu, zewnętrzni audytorzy bezpieczeństwa i programiści dapp mogli swobodnie analizować incydenty, ostrzegać przed innymi słabościami i proponować poprawki dla przyszłych aplikacji DeFi. Te incydenty ujawniają kooperacyjny etos otwartego oprogramowania i przygotowują grunt pod bezpieczniejszy ekosystem. W szczególności:

Narzędzia do monitorowania DeFi: Wykorzystując otwartość łańcucha blokowego Ethereum, publicznie dostępnych jest wiele narzędzi monitorujących związanych z DeFi, które umożliwiają bardziej pewną interakcję z aplikacjami finansowymi. Codefi Inspect to narzędzie typu open source do agregowania krytycznych informacji bezpieczeństwa dotyczących protokołów DeFi, w tym audytów publicznych, szczegółów klucza administratora, zależności Oracle i aktywności w łańcuchu. Codefi’s Wynik DeFi to wartość ryzyka związanego z platformą, którą można porównać między różnymi protokołami, aby lepiej wpływać na decyzje użytkowników przy wyborze między aplikacjami DeFi.

Przejrzystość bezpieczeństwa: Dapps coraz bardziej otwarcie mówią o zidentyfikowanych lukach w zabezpieczeniach. Uniswap potwierdził problem ERC-777 w swoim Wpis na blogu z marca 2020 r. Deweloper z protokołu handlowego Hegic opublikował otwartą „sekcję zwłok” o błędzie w jej kodzie, który uniemożliwiał dostęp do niektórych funduszy. Protokół Exchange Loopring zidentyfikował lukę w zabezpieczeniach front-endu, wstrzymał wymianę, ogłoszone społeczności, i pracował nad rozwiązaniem problemu. Ten rodzaj przejrzystości ma kluczowe znaczenie dla budowania zaufania między nowymi i istniejącymi użytkownikami oraz skalowania bezpieczniejszej sieci protokołów DeFi.

Ubezpieczenie DeFi: Ubezpieczenia oparte na Blockchain są już od jakiegoś czasu, ale w ciągu ostatnich kilku miesięcy zostały one ostro zwrócone. Nexus Mutual – weteran ubezpieczeń blockchain – i ostatnio Opyn pojawiły się (ponownie) jako czołowi gracze w tej sąsiedniej branży DeFi. Luki w zabezpieczeniach mogą prawdopodobnie istnieć w każdej dziedzinie technologii, zarówno powstającej, jak i obecnej. Im więcej środków ochronnych istnieje obok tych technologii, tym łatwiejsza jest droga do ich powszechnego przyjęcia.

Szybkie hity Codefi

Nadchodzące seminarium internetowe

CBDC i Stablecoins

14 maja 2020 r

Zarejestrować

cbdc.jpg

Stan + of + Staking + Webinar + Featured + (1) .png

Nadchodzące seminarium internetowe

Stan tyczenia

19 maja 2020

Zarejestrować

Ogłoszenia

  • Nowość w newsletterze i Codefi? Sprawdzić ten film wyjaśniający o ConsenSys Codefi.

  • Opinia ConsenSys Codefi: TLDR; chcemy się dostać poznam cię lepiej i zajmie to 3 minuty.

  • Codefi Data API: Dzięki interfejsowi API danych programiści, inwestorzy, firmy i entuzjaści DeFi mogą teraz pobierać dane o ryzyku w łatwym do integracji formacie, który lepiej obsługuje ich projekty. Skontaktuj się, aby rozpocząć korzystanie z interfejsu API. 

  • Stawka DeFi: CodeFi wprowadza nowe narzędzie do zarządzania ryzykiem kredytowym DeFi: Inspect. Wydany w zeszłym miesiącu Codefi Inspect to projekt typu open source poświęcony przejrzystości protokołów w DeFi, śledzący wszystkie audyty publiczne, szczegóły dotyczące kluczy administracyjnych, zależności oracle i aktywności w łańcuchu. 

  • Nie możesz się doczekać Ethereum 2.0? Codefi Activate stworzyło kalkulator Eth2, aby pomóc posiadaczom ETH w określeniu, jakich nagród mogą oczekiwać od obstawiania w sieci. Oblicz swoje potencjalne nagrody ETH.

  • Raport Codefi Asset na temat wykorzystania technologii blockchain do wzmocnienia miejskich systemów edukacyjnych podczas przechodzenia na cyfrowe uczenie się w czasach COVID-19. 

  • Niedawny raport ConsenSys Codefi analizuje preferencje, oczekiwania i problemy posiadaczy ETH, gdy patrzą w przyszłość na uruchomienie Ethereum 2.0 i możliwość obstawienia ETH. Przeczytaj raport Eth2 Staking Ecosystem.

Codefi Spotlight:

Raport ekosystemu obstawiania Ethereum 2.0

Uruchomienie Ethereum 2.0 (Eth2) w 2020 roku stanowi krytyczny i długo oczekiwany kamień milowy w sieci. Pomyślne uruchomienie sieci będzie wymagało od posiadaczy ETH decyzji o zdeponowaniu swojego ETH jako udziału w nowej sieci Proof of Stake. Aby zrozumieć motywacje, preferencje i zachowania posiadaczy ETH planujących (lub nie) obstawiać Ethereum 2.0, Codefi Activate ankietowało ~ 300 posiadaczy ETH. Te wnioski zostały zebrane w raporcie ekosystemu Ethereum 2.0. 

Spośród wszystkich respondentów ponad 65% planuje postawić na Ethereum 2.0. Tylko 17% było niezdecydowanych (14%) lub zrezygnowało z udziału (~ 3%). Spośród respondentów, którzy planują obstawiać, dzielą się mniej więcej 50/50 między planowaniem uruchomienia własnych węzłów walidatora a planowaniem korzystania z usługi obstawiania strony trzeciej. Oba segmenty planują jednak objąć około 50% posiadanego przez siebie ETH.

wykres 5.png

Kluczową zachętą do udziału posiadaczy ETH w sieci Ethereum 2.0 jest potencjał nagród blokowych w postaci ETH. Na pytanie, jaki procent zwrotu potwierdziłby ich udział w Eth2, respondenci, którzy planują uruchomić własne walidatory, wymagaliby średnio 5,8% zwrotów (postawionych ETH). Ci, którzy planują skorzystać z usługi strony trzeciej, wymagaliby jednak nieco wyższych nagród – średnio 7,6%. Ta 2% rozbieżność może pochodzić od tych, którzy planują korzystać z faktoringu strony trzeciej, spodziewając się, że te usługi będą pobierać opłatę za użytkowanie. Co ciekawe, osoby, które są obecnie niezdecydowane, czy postawić stawki, wymagałyby jeszcze wyższych nagród, aby przekonać ich do rozpoczęcia obstawiania: 9,4%. Dzięki początkowym nagrodom Ethereum 2.0 może wynosić do 20%, istnieje znaczny potencjał, aby schwytać tych niezdecydowanych posiadaczy ETH.

Pozostała część raportu Codefi Activate Ethereum 2.0 Staking zawiera szczegółowe informacje na temat preferencji tych segmentów posiadaczy ETH i identyfikuje kluczowe wnioski Usługa Eth2 i klienci, którzy dostawcy usług powinni wziąć pod uwagę, oferując produkty konsumentom. Na szczególną uwagę zasługuje ciągła potrzeba edukacji wokół mechanizmów Ethereum 2.0, jego bezpieczeństwa i zachęt ekonomicznych. Mniej niż 35% respondentów wskazało na „solidne” zrozumienie ekonomii Ethereum 2.0. 

Pobierz raport Eth 2.0 Staking Ecosystem

W celu promowania edukacji i zrozumienia ConsenSys uruchomił bazę wiedzy Ethereum 2.0, aby stale dostarczać najbardziej aktualne informacje o Ethereum 2.0 zarówno odbiorcom technicznym, jak i nietechnicznym..

Odwiedź bazę wiedzy Eth 2.0

Uwagi końcowe

Dziękujemy za przeczytanie tego biuletynu. Mamy nadzieję, że w zeszłym tygodniu mieliście okazję dostroić się do pierwszego wirtualnego szczytu Ethereal Summit. Jeśli nie (lub po prostu chcesz ponownie obejrzeć ulubione), sprawdź przesłane przemówienia i panele z całego ekosystemu Ethereum i blockchain, w tym Codefi, na Eteryczny YouTube. W międzyczasie śledź nas dalej Świergot, dowiedz się więcej na naszej stronie i daj nam znać, co myślisz. Niezależnie od tego, czy jesteś zainteresowany współpracą z nami, dla nas, czy po prostu chcesz się przywitać, skontaktuj się z nami.

Przekazałem tę wiadomość? Zapisz się do comiesięcznych aktualizacji.

Do następnego razu, 

Zespół ConsenSys Codefi

DeFiNewsletterAktualizacja produktuNewsletterZapisz się do naszego newslettera, aby otrzymywać najnowsze wiadomości o Ethereum, rozwiązania dla przedsiębiorstw, zasoby dla programistów i nie tylko.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me