JAUNUMU Vēstule # 5: Domas par DeFi drošību

emuārs 1NewsDevelopersEnterpriseBlockchain ExplainedEvents and ConferencesPressBiļeteni

Abonējiet mūsu biļetenu.

Epasta adrese

Mēs cienām jūsu privātumu

SākumsBlogsCodefi

JAUNUMU Vēstule # 5: Domas par DeFi drošību

autors Nicole Adarme 2020. gada 12. maijs Ievietots 2020. gada 12. maijā

kodefi iezīme

Hei draugs,

Cerot, ka šis e-pasts jūs labi atradīsit un pielāgosiet (vai pielāgosities) mūsu jaunajiem uzvedības modeļiem. Ja pagājušajā nedēļā jūs noskaņojāties uz pirmo virtuālo ēterisko samitu, jūs daudz dzirdējāt par DeFi nozīmi Ethereum un tīkla nākotni, uzsākot Ethereum 2.0. Tāpēc šī mēneša biļetenam mēs domājām, ka mēs jums sniegsim jaunumus par abiem.

Jautājums par drošību DeFi lietojumprogrammās

2020. gads ir izrādījies kritisks gads Ethereum DeFi ekosistēmai. Papildus tam, ka tiek svinēti vairāk nekā USD 1 miljardi, kas bloķēti DeFi, un nozīmīgiem platformas atskaites punktiem, nozare ir bijusi pakļauta biežiem nelieliem un lieliem drošības incidentiem gan jaunajās, gan jau izveidotajās DeFi lietojumprogrammās. Februāra un marta notikumi bZx un Maker ir labi atspoguļoti, taču mēs esam guvuši dažus datus un ieskatu jaunākajos notikumos par Uniswap un Lendf.me protokoliem, it īpaši saistībā ar ERC-777 marķiera standarta kompromisu, kas ļāva hakeriem novadiet kriptogrāfiju USD 25 miljonu vērtībā 18. aprīlī & 19. 

ImBTC marķieris ir ERC-777 marķieris, kuru izlaida Tokenlons, DEX, kas darbojas ar 0x protokolu. Gan Uniswap, gan Lendf.me incidentos hakeris (-i) izmantoja atkārtotas iekļūšanas ievainojamību, kas radās no nesaderības starp ERC-777 marķiera standartu un DeFi protokoliem. Vispārīgi runājot, reentrances neaizsargātība ļāva hakerim būtībā atkārtoti iztērēt imBTC sākotnējos noguldījumus, faktiski nodrošinot viņiem neierobežotu kapitālu darījumu vai aizņēmumu ieviešanai.

Noņemt:

Uzbrukums bija iespējams tāpēc, ka mijiedarbojoties ar ERC-777 standartu, Uniswap V1 nav ieviesti pasākumi, lai pasargātu no šāda veida atkārtotas iekļūšanas uzbrukumiem. Kopumā hakeris atcēla ~ $ 300k USD imBTC un ETH (~ $ 141k ETH + ~ $ 160k imBTC). 

Interesanti, ka šis uzbrukuma vektors nebija zināms Uniswap vai kriptogrāfijas kopienai kopumā. Gandrīz tieši gadu pirms Uniswap uzbrukuma ConsenSys Diligence – ConsenSys piedāvātais drošības audita pakalpojums – identificēti un publicēti ERC-777 atkārtotas iekļūšanas uzbrukuma vektors. Uniswap bija plāni pievērsties uzbrukuma vektoram, kā norādīts viņu 23. marta bloga ieraksts par Uniswap V2 funkcijām.


diagramma 1.png

Lendf.me

Lendf.me incidents izmantoja to pašu atkārtotas iekļūšanas ievainojamību, ko darīja pieejamu nepilnīga saderība starp kreditēšanas protokolu un ERC-777 marķiera standartu, taču ar daudz plašāku panākumu pakāpi. Gandrīz 100% no Lendf.me līdzekļiem – vairāk nekā USD 24 miljoni USD – tika iztukšoti uzbrukuma laikā 19. aprīlī.

Atšķirībā no notikuma Uniswap, nozagtie līdzekļi neaprobežojās tikai ar ETH un imBTC. Lai gan lielākā daļa nozagto līdzekļu bija WETH (10,8 miljoni ASV dolāru), USDT un HBTC veidoja papildu 9,7 miljonus ASV dolāru, kam sekoja vēl vismaz 16 citi žetoni. Zemāk redzamajās diagrammās ir parādīts apdraudēto līdzekļu aktīvu sadalījums un ikmēneša marķieru apjomi vietnē Lendf.me, kas noveda pie uzbrukuma 19. aprīlī.

diagramma 2.png

diagramma 3.png

Negaidītā notikumu pavērsiena (-u) hakeris (-i) Lendf.me atgrieza nozagtos līdzekļus protokolā, kā ziņots, tāpēc, ka viņi nejauši atklāj IP adresi uzbrukuma laikā. Zemāk redzamā Sankey diagramma parāda līdzekļu plūsmu pēc uzlaušanas. Līdzekļi atstāja Lendf.me līgumu (zaļš), izpildīja apstrādātāja līgumu (pelēks) un uz hakera adresi (melns). Pēc IP atklāšanas hakeris pārskaitīja līdzekļus atpakaļ uz Lendf.me administratora adresi, kas pēc tam pārskaitīja līdzekļus uz atkopšanas adresi (abas violetā krāsā). Diagrammas labajā malā, kur diagramma izplūst daudzās atsevišķās fondu plūsmās, tiek atzīmēts brīdis, kad Lendf.me atgrieztos līdzekļus individuāliem lietotājiem.

diagramma 4.png

Ko tas nozīmē DeFi?

Neskatoties uz šiem drošības incidentu viļņiem DeFi protokolos, nozare joprojām ir pārliecinoši pozitīvs par DeFi iespējām un impulsu, ko tas dod Ethereum. Objektīva DeFi statistika atbalsta pozitīvu noskaņojumu. Reaģējot uz drošības notikumiem šogad un ievērojamu tirgus spiedienu, kas sākas martā, bloķētā ETH ir samazinājusies no visu laiku augstākā līmeņa februārī. Tomēr līmeņi ir nokritušies tikai līdz 2019. gada decembra skaitļiem. Šī statistika, pat ņemot vērā augsta līmeņa drošības incidentus, liecina, ka DeFi ekosistēma kopumā ir pārspējusi kādu punktu “neatgriezties”. Lai gan ir cietusi uzticība atsevišķiem protokoliem, vispārējā apņemšanās ievērot jaunās decentralizētās finansēšanas paradigmas ir saglabājusies spēcīga.

Šo 2020. gada drošības incidentu laikā Ethereum kopiena ir pievērsusi uzmanību veidiem, kā novērst un reaģēt uz nākotnes notikumiem. Vispārīgi runājot, ir visu šo uzlaušanas vērtību piedāvājums, kas notiek uz atvērtās tehnoloģijas. Neprasot īpašu atļauju vai piekļuvi, trešo personu drošības auditori un dapp izstrādātāji ir spējuši brīvi analizēt incidentus, brīdināt par citiem trūkumiem un ieteikt turpmāko DeFi lietojumu labojumus. Šie incidenti atklāj atvērtās programmatūras sadarbības noskaņojumu un nosaka pamatu drošākai ekosistēmai. It īpaši:

DeFi uzraudzības rīki: Izmantojot Ethereum blokķēdes atvērtību, sabiedrībai ir pieejami daudzi ar DeFi saistīti uzraudzības rīki, lai pārliecinošāk mijiedarbotos ar finanšu lietojumprogrammām. Codefi Inspect ir atvērtā koda rīks, lai apkopotu kritisko drošības informāciju par DeFi protokoliem, ieskaitot publiskos auditus, administratora galveno informāciju, atkarību no orākula un darbību ķēdē. Codefi’s DeFi rādītājs ir platformas riska vērtība, kuru var salīdzināt visos protokolos, lai labāk informētu lietotāju lēmumus, izvēloties kādu no DeFi lietojumprogrammām.

Drošības pārredzamība: Dapps kļūst arvien atvērtāks par identificētajām drošības ievainojamībām. Uniswap savos jautājumos atzina ERC-777 problēmu 2020. gada marta emuāra ziņojums. Izstrādātājs no tirdzniecības protokola Hegic publicēja atklātu pēcnāves par kļūdu viņas kodā, kas padarīja dažus līdzekļus nepieejamus. Apmaiņas protokols Loopring identificēja front-end ievainojamību, apturēja apmaiņu, paziņoja sabiedrībai, un strādāja, lai problēmu atrisinātu. Šāda veida pārredzamība ir izšķiroša, lai veidotu uzticību starp jaunajiem un esošajiem lietotājiem un lai palielinātu drošāku DeFi protokolu tīklu.

DeFi apdrošināšana: Uz blockchain balstīta apdrošināšana pastāv jau kādu laiku, taču pēdējos pāris mēnešos tā ir pievērsta uzmanībai. Nexus Mutual – blockchain apdrošināšanas veterāns – un pavisam nesen Opiņa ir (atkārtoti) parādījušies kā galvenie spēlētāji šajā blakus esošajā DeFi nozarē. Drošības ievainojamība, visticamāk, pastāv jebkurā tehnoloģiju jomā, neatkarīgi no tā, vai tā ir jauna vai esoša. Jo vairāk aizsardzības pasākumu pastāv līdzās šīm tehnoloģijām, jo ​​vieglāks ceļš uz plašu ieviešanu.

Ātrie kodefi hits

Gaidāmais vebinārs

CBDC un Stablecoins

2020. gada 14. maijs

Reģistrēties

cbdc.jpg

Stāvoklis + Staking + Webinar + Featured + (1) .png

Gaidāmais vebinārs

Staking stāvoklis

2020. gada 19. maijs

Reģistrēties

Paziņojumi

  • Jaunums informatīvajā izdevumā un Codefi? Pārbaudiet šis paskaidrojuma video par ConsenSys Codefi.

  • ConsenSys Codefi atsauksmes: TLDR; mēs vēlamies nokļūt zinu, ka esi labāk, un tas prasīs 3 minūtes.

  • Codefi Data API: Izmantojot datu API, izstrādātāji, investori, uzņēmumi un DeFi entuziasti tagad var iegūt riska datus viegli integrējamā formātā, kas labāk atbalsta viņu projektus. Sazinieties, lai sāktu darbu ar API. 

  • DeFi likme: CodeFi izlaiž jaunu DeFi kreditēšanas riska pārvaldības rīku: Pārbaudīt. Pagājušajā mēnesī izlaistais Codefi Inspect ir atvērtā koda projekts, kas paredzēts protokola pārredzamībai DeFi, izsekojot visus publiskos auditus, administratora galveno informāciju, atkarību no orākula un ķēdes darbību. 

  • Gaidāt Ethereum 2.0? Codefi Activate izveidoja Eth2 kalkulatoru, lai palīdzētu ETH īpašniekiem sākt noteikt, kāda veida atlīdzības viņi varētu sagaidīt no spēles tīklā. Aprēķiniet potenciālās ETH atlīdzības.

  • Codefi Asset ziņojums par blokķēdes izmantošanu pašvaldību izglītības sistēmu nodrošināšanai, pārejot uz digitālo mācīšanos COVID-19 laikā. 

  • Nesenajā ConsenSys Codefi ziņojumā ir apskatītas ETH īpašnieku vēlmes, cerības un sāpju punkti, kad viņi gaida Ethereum 2.0 ieviešanu un iespēju likt ETH. Izlasiet Eth2 Staking Ecosystem Report.

Codefi uzmanības centrā:

Ethereum 2.0 vērtīgais ekosistēmas ziņojums

Ethereum 2.0 (Eth2) izlaišana 2020. gadā ir kritisks un ilgi gaidīts tīkla atskaites punkts. Lai veiksmīgi uzsāktu tīkla darbību, ETH īpašniekiem būs jāizvēlas deponēt savu ETH kā daļu no jaunā Proof of Stake tīkla. Lai saprastu ETH īpašnieku motivāciju, vēlmes un uzvedību, kuri plāno (vai nē) piedalīties Ethereum 2.0, Codefi Activate aptaujātie ~ 300 ETH turētāji. Šie secinājumi tika apkopoti Ethereum 2.0 Staking Ecosystem Report. 

Starp visiem respondentiem vairāk nekā 65% plāno piedalīties Ethereum 2.0. Tikai 17% bija vai nu neizlēmuši (14%), vai arī bija nolēmuši nepiedalīties (~ 3%). No respondentiem, kuri plāno spēlēt, viņi ir sadalīti aptuveni 50/50 starp plānošanu vadīt savus validatora mezglus un plānošanu izmantot trešās puses mietu pakalpojumu. Abi segmenti tomēr plāno aptuveni 50% piederēt viņiem piederošajam ETH.

diagramma 5.png

Galvenais stimuls ETH turētāju dalībai Ethereum 2.0 tīklā ir iespēja saņemt bloku atlīdzību ETH veidā. Atbildot uz jautājumu, cik procentu atdeve apstiprinātu viņu dalību Eth2, respondentiem, kuri plāno vadīt savus validatorus, būtu nepieciešama vidēji 5,8% atdeve (no iesaistītās ETH). Tiem, kas plāno izmantot trešās puses pakalpojumu, būtu vajadzīgas nedaudz lielākas atlīdzības – vidēji 7,6%. Šī 2% neatbilstība varētu būt tiem, kuri plāno izmantot trešo pusi, ņemot vērā, ka šie pakalpojumi iekasēs maksu par izmantošanu. Interesanti, ka cilvēkiem, kuri šobrīd nav izlēmuši par to, vai likt likmi, vajadzētu vēl lielākas atlīdzības, lai pārliecinātu viņus sākt spēlēt: 9,4%. Ar sākotnējo Ethereum 2.0 to apbalvo varētu svārstīties līdz 20%, ir ievērojams potenciāls sagūstīt šos neizlemtos ETH īpašniekus.

Atlikušajā Codefi Activate Ethereum 2.0 sagatavošanas ziņojumā ir sīki aprakstītas šo ETH turētāju segmentu preferences un identificēti galvenie Eth2 pakalpojumu izvešanas pakalpojumi, un klientu pakalpojumu sniedzējiem būtu jāņem vērā, piedāvājot produktus patērētājiem. Īpaši jāatzīmē nepārtraukta vajadzība pēc izglītības par Ethereum 2.0 mehānismiem, tā drošību un ekonomiskajiem stimuliem. Mazāk nekā 35% respondentu norādīja uz “pareizu” izpratni par Ethereum 2.0 ekonomiku. 

Lejupielādējiet Eth 2.0 pārskatu Staking Ecosystem

Izglītības un izpratnes veicināšanas nolūkos ConsenSys ir uzsācis Ethereum 2.0 zināšanu bāzi, lai nepārtraukti sniegtu visjaunāko informāciju Ethereum 2.0 gan tehniskām, gan netehniskām auditorijām..

Apmeklējiet Eth 2.0 zināšanu bāzi

Nobeiguma piezīmes

Paldies, ka izlasījāt šo biļetenu. Mēs ceram, ka jums pagājušajā nedēļā bija iespēja pieskaņoties pirmajam virtuālajam ēteru samitam. Ja nē (vai ja vēlaties vienkārši noskatīties vēlreiz savus iecienītākos), skatiet augšupielādētās runas un paneļus no visas Ethereum un blockchain ekosistēmas, ieskaitot Codefi, vietnē Ēteriskais YouTube. Pa to laiku sekojiet mums tālāk Twitter, uzziniet vairāk mūsu vietnē un informējiet mūs par savām domām. Neatkarīgi no tā, vai jūs vēlaties sadarboties ar mums, mums, vai vēlaties vienkārši sasveicināties, lūdzu, sazinieties ar mums.

Pārsūtīja šo ziņojumu? Pierakstīties ikmēneša atjauninājumiem.

Līdz nākamajai reizei, 

ConsenSys Codefi komanda

DeFiNewsletterProduct UpdateNewsletterRakstieties uz mūsu biļetenu, lai iegūtu jaunākos Ethereum jaunumus, uzņēmuma risinājumus, izstrādātāju resursus un daudz ko citu.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map