blog 1NieuwsOntwikkelaarsEnterpriseBlockchain ExplainedEvenementen en conferentiesPersNieuwsbrieven

Abonneer op onze nieuwsbrief.

E-mailadres

Wij respecteren uw privacy

HomeBlogCodefi

NIEUWSBRIEF # 5: Gedachten over DeFi-beveiliging

door Nicole Adarme12 mei 2020Geplaatst op 12 mei 2020

codefi-functie


Hallo vriend,

In de hoop dat deze e-mail je goed vindt en aangepast (of aangepast) aan onze nieuwe gedragspatronen. Als je de afgelopen week hebt afgestemd op de eerste virtuele Ethereal Summit, heb je veel gehoord over de betekenis van DeFi op Ethereum en de toekomst van het netwerk met de lancering van Ethereum 2.0. Dus voor de nieuwsbrief van deze maand dachten we dat we jullie op de hoogte zouden houden van beide.

De kwestie van beveiliging in DeFi-toepassingen

2020 is een cruciaal jaar gebleken voor het Ethereum DeFi-ecosysteem. Naast het vieren van meer dan $ 1 miljard dollar opgesloten in DeFi en belangrijke mijlpalen op het platform, is de branche onderhevig geweest aan frequente incidenten van kleine en grote beveiligingsincidenten in zowel nieuwe als gevestigde DeFi-applicaties. De bZx- en Maker-evenementen van februari en maart zijn goed behandeld, maar we hebben wat gegevens en inzichten verzameld in recente gebeurtenissen op de Uniswap- en Lendf.me-protocollen, met name rond het compromitteren van de ERC-777-tokenstandaard die hackers in staat stelde op 18 april $ 25 miljoen aan cryptovaluta leegmaken & 19e. 

Het imBTC-token is een ERC-777-token vrijgegeven door Tokenlon, een DEX die draait op het 0x-protocol. Bij zowel de Uniswap- als Lendf.me-incidenten maakten de hacker (s) gebruik van een herintredingskwetsbaarheid die voortkwam uit de incompatibiliteit tussen de ERC-777-tokenstandaard en de DeFi-protocollen. In grote lijnen stelde de kwetsbaarheid voor herintreding de hacker in staat om initiële stortingen van imBTC in wezen opnieuw uit te geven, waardoor ze effectief onbeperkt kapitaal kregen om transacties uit te voeren of te lenen..

Uniswap:

De aanval werd mogelijk gemaakt omdat Uniswap V1 geen maatregelen heeft getroffen om zich te beschermen tegen dit soort herintredingsaanvallen bij interactie met de ERC-777-standaard. In totaal verdiende de hacker ~ $ 300k USD aan imBTC en ETH (~ $ 141k ETH + ~ $ 160k imBTC). 

Interessant genoeg was deze aanvalsvector niet onbekend bij Uniswap of bij de cryptogemeenschap in het algemeen. Bijna precies een jaar voor de Uniswap-aanval, ConsenSys Diligence – de beveiligingsauditservice aangeboden door ConsenSys – geïdentificeerd en gepubliceerd de ERC-777-herintredingsaanvalvector. Uniswap had plannen om de aanvalsvector aan te pakken, zoals uiteengezet in hun 23 maart blogpost over de features van Uniswap V2.

grafiek 1.png

Lendf.me

Het Lendf.me-incident maakte gebruik van dezelfde herintredingskwetsbaarheid die beschikbaar werd gemaakt door de onvolledige compatibiliteit tussen het uitleenprotocol en de ERC-777-tokenstandaard, maar met een veel grotere mate van succes. Bijna 100% van het geld van Lendf.me – meer dan $ 24 miljoen USD – werd leeggemaakt tijdens de aanval op 19 april.

In tegenstelling tot het Uniswap-evenement waren de gestolen fondsen niet beperkt tot alleen ETH en imBTC. Hoewel de meerderheid van het gestolen geld WETH ($ 10,8 miljoen) was, maakten USDT en HBTC nog eens $ 9,7 miljoen goed, gevolgd door ten minste 16 andere tokens. De onderstaande grafieken tonen de activadistributie van gecompromitteerde fondsen en de maandelijkse tokenvolumes op Lendf.me voorafgaand aan de aanval op 19 april.

grafiek 2.png

grafiek 3.png

In een onverwachte wending van de gebeurtenissen hebben de Lendf.me-hacker (s) het gestolen geld teruggestuurd naar het protocol, naar verluidt omdat ze per ongeluk een IP-adres blootgesteld tijdens de aanval. Het onderstaande Sankey-diagram toont de geldstroom na de hack. Fondsen verlieten het Lendf.me-contract (groen), gingen door het handlercontract (grijs) en naar het adres van de hacker (zwart). Nadat het IP-adres was onthuld, heeft de hacker het geld teruggestuurd naar het Lendf.me-beheerdersadres, dat het geld vervolgens heeft overgebracht naar een hersteladres (beide in paars). Helemaal rechts in de grafiek, waar het diagram uitmondt in vele individuele fondsstromen, markeert het moment waarop Lendf.me geretourneerde fondsen aan individuele gebruikers.

grafiek 4.png

Wat betekent dit voor DeFi?

Ondanks deze golven van beveiligingsincidenten op DeFi-protocollen, is de industrie nog steeds overweldigend positief over de kansen van DeFi en het momentum dat het naar Ethereum brengt. Objective DeFi-statistieken ondersteunen een positief sentiment. Als reactie op beveiligingsgebeurtenissen dit jaar en de aanzienlijke marktdruk die in maart begon, is de vergrendelde ETH gedaald van een recordhoogte in februari. Het niveau is echter alleen gedaald tot de cijfers van december 2019. Deze statistieken suggereren, zelfs in het licht van spraakmakende beveiligingsincidenten, dat het DeFi-ecosysteem als geheel een punt van ‘geen terugkeer’ heeft overschreden. de algehele inzet voor de opkomende paradigma’s van gedecentraliseerde financiering is sterk gebleven.

Tijdens deze beveiligingsincidenten in 2020 heeft de Ethereum-gemeenschap de aandacht gevestigd op manieren om toekomstige gebeurtenissen te voorkomen en erop te reageren. Over het algemeen is er de waardepropositie van al deze hacks die voorkomen op open technologie. Zonder speciale toestemming of toegang nodig te hebben, hebben externe beveiligingsauditors en dapp-ontwikkelaars de incidenten vrijelijk kunnen analyseren, kunnen waarschuwen voor andere zwakke punten en oplossingen kunnen voorstellen voor toekomstige DeFi-applicaties. Deze incidenten onthullen het coöperatieve ethos van open software en vormen de weg voor een veiliger ecosysteem. Met name:

DeFi-monitoringtools: Gebruikmakend van de openheid van de Ethereum-blockchain, is een groot aantal DeFi-gerelateerde monitoringtools beschikbaar voor het publiek om met meer vertrouwen te communiceren met financiële applicaties. Codefi Inspect is een open source-tool om kritieke beveiligingsinformatie over DeFi-protocollen samen te voegen, inclusief openbare audits, admin-sleuteldetails, Oracle-afhankelijkheid en on-chain activiteit. Codefi’s DeFi-score is een waarde van platformrisico die tussen protocollen kan worden vergeleken om de beslissingen van gebruikers beter te informeren bij het kiezen tussen DeFi-applicaties.

Veiligheidstransparantie: Dapps worden steeds opener over geïdentificeerde kwetsbaarheden in de beveiliging. Uniswap erkende het ERC-777-probleem in hun Blogpost van maart 2020. Een ontwikkelaar van het handelsprotocol Hegic publiceerde een open ‘post-mortem’ over een fout in haar code waardoor sommige fondsen ontoegankelijk waren. Uitwisselingsprotocol Loopring heeft een front-end kwetsbaarheid geïdentificeerd en de uitwisseling onderbroken, aangekondigd aan de gemeenschap, en hebben gewerkt om het probleem op te lossen. Dit soort transparantie is cruciaal voor het opbouwen van vertrouwen tussen nieuwe en bestaande gebruikers en voor het opschalen van een veiliger netwerk van DeFi-protocollen.

DeFi-verzekering: Op blockchain gebaseerde verzekeringen bestaan ​​al een tijdje, maar zijn de afgelopen maanden sterk in beeld gekomen. Nexus Mutual – een veteraan op het gebied van blockchain-verzekeringen – en meer recentelijk Opyn zijn (her) naar voren gekomen als topspelers in deze aangrenzende DeFi-industrie. Beveiligingskwetsbaarheden zijn waarschijnlijk op elk technologisch gebied, zowel opkomend als bestaand. Hoe meer beschermende maatregelen er naast deze technologieën bestaan, hoe gemakkelijker de weg naar brede acceptatie.

Snel Codefi Hits

Aankomende webinar

CBDC’s en Stablecoins

14 mei 2020

Registreren

cbdc.jpg

Staat + van + Uitzetten + Webinar + Uitgelicht + (1) .png

Aankomende webinar

De staat van uitzetten

19 mei 2020

Registreren

Aankondigingen

  • Nieuw bij de nieuwsbrief en bij Codefi? Uitchecken deze uitlegvideo over ConsenSys Codefi.

  • ConsenSys Codefi-feedback: TLDR; we willen bereiken ken je beter en het duurt 3 minuten.

  • Codefi Data API: Met de data-API kunnen ontwikkelaars, investeerders, bedrijven en DeFi-enthousiastelingen nu risicogegevens ophalen in een eenvoudig te integreren formaat dat hun projecten beter ondersteunt. Neem contact op om te beginnen met de API. 

  • DeFi-snelheid: CodeFi lanceert nieuwe risicobeheertool voor kredietverlening door DeFi: inspecteren. Codefi Inspect, dat vorige maand werd uitgebracht, is een open source-project dat zich toelegt op protocoltransparantie in DeFi, waarbij alle openbare audits, sleuteldetails van de beheerder, Oracle-afhankelijkheid en on-chain-activiteit worden gevolgd.. 

  • Kijk je uit naar Ethereum 2.0? Codefi Activate heeft een Eth2-calculator gemaakt om ETH-houders te helpen bepalen wat voor soort beloningen ze zouden kunnen verwachten door uit te zetten op het netwerk. Bereken uw potentiële ETH-beloningen.

  • Het rapport van Codefi Asset over het gebruik van blockchain om gemeentelijke onderwijssystemen te versterken bij de overgang naar digitaal leren in de tijd van COVID-19. 

  • Een recent rapport van ConsenSys Codefi onderzoekt de voorkeuren, verwachtingen en pijnpunten van ETH-houders terwijl ze vooruitkijken naar de lancering van Ethereum 2.0 en de mogelijkheid om ETH in te zetten. Lees het Eth2 Staking Ecosystem Report.

Codefi in de schijnwerpers:

Het Ethereum 2.0-ecosysteemrapport

De lancering van Ethereum 2.0 (Eth2) in 2020 vormt een kritieke en langverwachte netwerkmijlpaal. De succesvolle lancering van het netwerk vereist dat ETH-houders ervoor kiezen om hun ETH als aandeel in het nieuwe Proof of Stake-netwerk te deponeren. Om de motivaties, voorkeuren en gedragingen van ETH-houders te begrijpen die van plan zijn (of niet) om te investeren in Ethereum 2.0, ondervroeg Codefi Activate ~ 300 ETH-houders. Deze conclusies werden verzameld in het Ethereum 2.0 Staking Ecosystem Report. 

Van alle respondenten is meer dan 65% van plan om in Ethereum 2.0 te investeren. Slechts 17% was onbeslist (14%) of had besloten niet in te zetten (~ 3%). Van de respondenten die van plan zijn om in te zetten, zijn ze ongeveer 50/50 verdeeld over de planning om hun eigen validatorknooppunten te runnen en de planning om een ​​uitzetdienst van derden te gebruiken. Beide segmenten zijn echter van plan om ongeveer 50% van hun ETH in eigendom te nemen.

grafiek 5.png

Een belangrijke stimulans voor de deelname van ETH-houders aan het Ethereum 2.0-netwerk is het potentieel voor blokbeloningen in de vorm van ETH. Op de vraag welk% rendement hun deelname aan Eth2 zou valideren, zouden respondenten die van plan zijn om hun eigen validators te runnen gemiddeld 5,8% rendement (van uitgezet ETH) nodig hebben. Degenen die van plan zijn om een ​​service van een derde partij te gebruiken, zouden echter iets hogere beloningen nodig hebben – gemiddeld 7,6%. Dit verschil van 2% kan afkomstig zijn van degenen die van plan zijn gebruik te maken van een derde partij in de verwachting dat die services een vergoeding voor gebruik in rekening zullen brengen. Interessant is dat mensen die momenteel twijfelen of ze wel of niet willen inzetten, nog hogere beloningen nodig hebben om hen te overtuigen om te beginnen met staken: 9,4%. Met de eerste Ethereum 2.0 wordt dat beloond kan oplopen tot 20%, er is een aanzienlijk potentieel om deze onbesliste ETH-houders te vangen.

De rest van het Codefi Activate Ethereum 2.0 Staking Report beschrijft de voorkeuren van deze ETH-houdersegmenten en identificeert de belangrijkste afhaalrestaurants die Eth2-service- en klantaanbieders in overweging moeten nemen bij het aanbieden van producten aan consumenten. Van bijzonder belang is de voortdurende behoefte aan educatie over de mechanismen van Ethereum 2.0, de beveiliging ervan en de economische prikkels. Minder dan 35% van de respondenten gaf aan een ‘goed’ begrip van de economie van Ethereum 2.0 te hebben. 

Download het Eth 2.0 Staking Ecosystem Report

In het belang van het bevorderen van onderwijs en begrip heeft ConsenSys de Ethereum 2.0 Knowledge Base gelanceerd om continu de meest up-to-date Ethereum 2.0-informatie te bieden voor zowel technische als niet-technische doelgroepen..

Bezoek de Eth 2.0 Knowledge Base

Laatste opmerkingen

Bedankt voor het doornemen van deze nieuwsbrief. We hopen dat je de afgelopen week de gelegenheid hebt gehad om af te stemmen op de eerste virtuele Ethereal Summit. Als dat niet het geval is (of als je gewoon je favorieten opnieuw wilt bekijken), bekijk dan geüploade toespraken en panels uit het hele Ethereum- en blockchain-ecosysteem, inclusief Codefi, op de Etherische YouTube. Volg ons ondertussen Twitter, lees meer op onze website, en laat ons uw mening weten. Of je nu geïnteresseerd bent om met ons samen te werken, voor ons, of je wilt gewoon hallo zeggen, neem dan gerust contact met ons op.

Heeft dit bericht doorgestuurd? Aanmelden voor maandelijkse updates.

Tot de volgende keer, 

Het ConsenSys Codefi-team

DeFi Nieuwsbrief Productupdate Nieuwsbrief Abonneer u op onze nieuwsbrief voor het laatste Ethereum-nieuws, bedrijfsoplossingen, bronnen voor ontwikkelaars en meer.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me