NEWSLETTER # 5: Pemikiran tentang DeFi Security

blog 1NewsPengembangEnterpriseBlockchain DijelaskanAcara dan KonferensiTekanBuletin

Berlangganan newsletter kami.

Alamat email

Kami menghormati privasi Anda

BerandaBlogCodefi

NEWSLETTER # 5: Pemikiran tentang DeFi Security

Oleh Nicole AdarmeMei 12, 2020Diposting pada 12 Mei 2020

fitur kodefi

Hai teman,

Berharap email ini menemukan Anda dengan baik dan menyesuaikan (atau menyesuaikan) dengan pola perilaku baru kami. Jika Anda mengikuti KTT Ethereal virtual pertama minggu lalu, Anda mendengar banyak tentang pentingnya DeFi di Ethereum dan masa depan jaringan dengan peluncuran Ethereum 2.0. Jadi untuk buletin bulan ini, kami pikir kami akan memberikan pembaruan kepada Anda tentang keduanya.

Pertanyaan Keamanan dalam Aplikasi DeFi

2020 telah membuktikan tahun kritis untuk ekosistem Ethereum DeFi. Selain merayakan lebih dari $ 1 miliar USD yang terkunci di DeFi dan pencapaian platform yang signifikan, industri ini telah sering mengalami insiden keamanan kecil dan besar di aplikasi DeFi baru dan yang sudah mapan. Acara bZx dan Maker pada bulan Februari dan Maret telah dibahas dengan baik, tetapi kami telah menarik beberapa data dan wawasan tentang peristiwa terbaru di protokol Uniswap dan Lendf.me, khususnya seputar kompromi standar token ERC-777 yang memungkinkan peretas untuk tiriskan crypto senilai $ 25 juta pada tanggal 18 April & 19. 

Token imBTC adalah token ERC-777 yang dirilis oleh Tokenlon, sebuah DEX yang berjalan pada protokol 0x. Dalam insiden Uniswap dan Lendf.me, peretas mengeksploitasi kerentanan reentrancy yang muncul dari ketidakcocokan antara standar token ERC-777 dan protokol DeFi. Secara umum, kerentanan masuk kembali memungkinkan peretas untuk menghabiskan kembali setoran awal imBTC, secara efektif memberi mereka modal tak terbatas untuk melakukan perdagangan atau meminjam..

Uniswap:

Serangan itu dimungkinkan karena Uniswap V1 tidak memiliki langkah-langkah untuk menjaga dari jenis serangan reentrancy saat berinteraksi dengan standar ERC-777. Secara total, peretas menghasilkan ~ $ 300rb USD di imBTC dan ETH (~ $ 141rb ETH + ~ $ 160k imBTC). 

Menariknya, vektor serangan ini tidak diketahui oleh Uniswap atau komunitas crypto pada umumnya. Hampir persis setahun sebelum serangan Uniswap, ConsenSys Diligence – layanan audit keamanan yang ditawarkan oleh ConsenSys – diidentifikasi dan diterbitkan vektor serangan masuk kembali ERC-777. Uniswap memiliki rencana untuk mengatasi vektor serangan, seperti yang diuraikan dalam Posting blog 23 Maret tentang fitur Uniswap V2.


grafik 1.png

Lendf.me

Insiden Lendf.me mengeksploitasi kerentanan reentrancy yang sama yang disediakan oleh kompatibilitas yang tidak lengkap antara protokol peminjaman dan standar token ERC-777, tetapi pada tingkat kesuksesan yang jauh lebih luas. Hampir 100% dana Lendf.me – lebih dari $ 24 juta USD – dikuras selama serangan pada 19 April.

Berbeda dengan event Uniswap, dana yang dicuri tidak terbatas hanya pada ETH dan imBTC. Meskipun sebagian besar dana yang dicuri adalah WETH ($ 10,8 juta), USDT dan HBTC menghasilkan tambahan $ 9,7 juta, diikuti oleh setidaknya 16 token lainnya. Grafik di bawah ini menunjukkan distribusi aset dari dana yang dikompromikan dan volume token bulanan di Lendf.me yang mengarah ke serangan pada 19 April.

bagan 2.png

grafik 3.png

Dalam kejadian yang tidak terduga, peretas Lendf.me mengembalikan dana yang dicuri ke protokol, dilaporkan karena mereka secara tidak sengaja membuka alamat IP selama penyerangan. Diagram Sankey di bawah ini menunjukkan aliran dana setelah peretasan. Dana meninggalkan kontrak Lendf.me (hijau), melewati kontrak penangan (abu-abu), dan ke alamat peretas (hitam). Setelah IP terungkap, peretas mentransfer dana kembali ke alamat admin Lendf.me, yang kemudian mentransfer dana ke alamat pemulihan (keduanya berwarna ungu). Paling kanan dari grafik, di mana diagram mengalir ke banyak aliran dana individu, menandai momen ketika Lendf.me mengembalikan dana kepada pengguna individu.

bagan 4.png

Apa Artinya Ini untuk DeFi?

Terlepas dari gelombang insiden keamanan pada protokol DeFi ini, industri masih sangat banyak positif tentang peluang DeFi dan momentum yang dibawanya ke Ethereum. Statistik Objective DeFi mendukung sentimen positif. Menanggapi peristiwa keamanan tahun ini dan tekanan pasar yang cukup besar yang dimulai pada bulan Maret, ETH yang terkunci telah menurun dari level tertinggi sepanjang masa di bulan Februari. Namun, levelnya telah turun hanya ke angka Desember 2019. Statistik ini, bahkan dalam menghadapi insiden keamanan profil tinggi, menunjukkan ekosistem DeFi secara keseluruhan telah melampaui beberapa titik ‘tidak bisa kembali’. Meskipun kepercayaan pada masing-masing protokol telah menurun, Komitmen keseluruhan terhadap paradigma yang muncul dari keuangan desentralisasi tetap kuat.

Selama insiden keamanan tahun 2020 ini, komunitas Ethereum telah memusatkan perhatian pada cara-cara untuk mencegah dan merespons peristiwa di masa depan. Secara umum, ada proposisi nilai dari semua peretasan ini yang terjadi pada teknologi terbuka. Tanpa memerlukan izin atau akses khusus, auditor keamanan pihak ketiga dan pengembang dapp dapat dengan bebas menganalisis insiden, memperingatkan terhadap kelemahan lain, dan mengusulkan perbaikan untuk aplikasi DeFi di masa mendatang. Insiden ini mengungkapkan etos kerja sama perangkat lunak terbuka, dan menyiapkan panggung untuk ekosistem yang lebih aman. Khususnya:

Alat Pemantauan DeFi: Memanfaatkan keterbukaan blockchain Ethereum, sejumlah alat pemantauan terkait DeFi tersedia untuk publik untuk lebih percaya diri berinteraksi dengan aplikasi keuangan. Pemeriksaan Codefi adalah alat sumber terbuka untuk mengumpulkan informasi keamanan penting tentang protokol DeFi, termasuk audit publik, detail kunci admin, ketergantungan oracle, dan aktivitas on-chain. Codefi’s Skor DeFi adalah nilai risiko platform yang dapat dibandingkan di seluruh protokol untuk menginformasikan keputusan pengguna dengan lebih baik saat memilih di antara aplikasi DeFi.

Transparansi Keamanan: Dapps menjadi lebih terbuka tentang kerentanan keamanan yang teridentifikasi. Uniswap mengakui masalah ERC-777 di mereka Posting blog Maret 2020. Pengembang dari protokol perdagangan Hegic menerbitkan ‘post-mortem’ terbuka tentang bug dalam kodenya yang menyebabkan sejumlah dana tidak dapat diakses. Protokol Exchange Loopring mengidentifikasi kerentanan front-end, menghentikan pertukaran, diumumkan ke komunitas, dan bekerja untuk memperbaiki masalah tersebut. Transparansi semacam ini sangat penting untuk membangun kepercayaan di antara pengguna baru dan yang sudah ada dan untuk menskalakan jaringan protokol DeFi yang lebih aman.

Asuransi DeFi: Asuransi berbasis blockchain telah ada untuk sementara waktu, tetapi telah menjadi fokus tajam beberapa bulan terakhir ini. Nexus Mutual – veteran asuransi blockchain – dan baru-baru ini Opyn telah (kembali) muncul sebagai pemain top di industri DeFi yang berdekatan ini. Kerentanan keamanan kemungkinan besar ada di bidang teknologi apa pun, baik yang muncul maupun yang sedang menjabat. Semakin banyak tindakan protektif yang ada di samping teknologi ini, semakin mudah jalan untuk adopsi secara luas.

Hit Codefi Cepat

Webinar Mendatang

CBDC dan Stablecoin

14 Mei 2020

Daftar

cbdc.jpg

Status + Taruhan + Webinar + Unggulan + (1) .png

Webinar Mendatang

Status Taruhan

19 Mei 2020

Daftar

Pengumuman

  • Baru di Newsletter dan Codefi? Periksa video penjelasan ini tentang ConsenSys Codefi.

  • Umpan Balik ConsenSys Codefi: TLDR; kami ingin mendapatkan mengenal Anda lebih baik dan ini akan membutuhkan waktu 3 menit.

  • API Data Codefi: Dengan API data, pengembang, investor, bisnis, dan penggemar DeFi sekarang dapat mengambil data risiko dalam format yang mudah diintegrasikan yang mendukung proyek mereka dengan lebih baik. Hubungi untuk memulai API. 

  • Tingkat DeFi: CodeFi Meluncurkan Alat Manajemen Risiko Pinjaman DeFi Baru: Periksa. Dirilis bulan lalu, Codefi Inspect adalah proyek open source yang didedikasikan untuk transparansi protokol di DeFi, melacak semua audit publik, detail kunci admin, ketergantungan oracle, dan aktivitas on-chain. 

  • Menantikan Ethereum 2.0? Codefi Activate membuat kalkulator Eth2 untuk membantu pemegang ETH mulai menentukan jenis hadiah yang dapat mereka antisipasi dari staking di jaringan. Hitung potensi imbalan ETH Anda.

  • Laporan Codefi Asset tentang penggunaan blockchain untuk memberdayakan sistem pendidikan kota saat mereka bertransisi ke pembelajaran digital pada masa COVID-19. 

  • Laporan terbaru oleh ConsenSys Codefi memeriksa preferensi, ekspektasi, dan poin rasa sakit pemegang ETH saat mereka melihat ke depan untuk peluncuran Ethereum 2.0 dan peluang untuk mempertaruhkan ETH. Baca Laporan Ekosistem Staking Eth2.

Sorotan Codefi:

Laporan Ekosistem Staking Ethereum 2.0

Peluncuran Ethereum 2.0 (Eth2) pada tahun 2020 menghadirkan tonggak sejarah jaringan yang kritis dan telah lama dinantikan. Peluncuran jaringan yang berhasil akan mengharuskan pemegang ETH memilih untuk menyetor ETH mereka sebagai saham di jaringan Proof of Stake yang baru. Untuk memahami motivasi, preferensi, dan perilaku pemegang ETH yang berencana (atau tidak) untuk mempertaruhkan Ethereum 2.0, Codefi Activate menyurvei ~ 300 pemegang ETH. Kesimpulan ini dikumpulkan ke dalam Laporan Ekosistem Staking Ethereum 2.0. 

Di antara semua responden, lebih dari 65% berencana untuk mempertaruhkan Ethereum 2.0. Hanya 17% yang ragu-ragu (14%) atau memutuskan untuk tidak mempertaruhkan (~ 3%). Dari responden yang berencana untuk bertaruh, mereka dibagi sekitar 50/50 antara berencana untuk menjalankan node validator mereka sendiri dan berencana untuk menggunakan layanan taruhan pihak ketiga. Kedua segmen, bagaimanapun, berencana untuk mempertaruhkan sekitar 50% dari ETH yang mereka miliki.

bagan 5.png

Insentif utama untuk partisipasi pemegang ETH di jaringan Ethereum 2.0 adalah potensi hadiah blok dalam bentuk ETH. Ketika ditanya berapa% pengembalian yang akan memvalidasi partisipasi mereka di Eth2, responden yang berencana menjalankan validator mereka sendiri akan membutuhkan pengembalian rata-rata 5,8% (dari ETH yang dipertaruhkan). Mereka yang berencana menggunakan layanan pihak ketiga, bagaimanapun, akan membutuhkan imbalan yang sedikit lebih tinggi – rata-rata 7,6%. Perbedaan 2% ini bisa jadi berasal dari mereka yang berencana menggunakan faktor pihak ketiga dengan harapan bahwa layanan tersebut akan mengenakan biaya untuk penggunaan. Menariknya, orang-orang yang saat ini ragu-ragu tentang apakah akan bertaruh atau tidak akan membutuhkan hadiah yang lebih tinggi untuk meyakinkan mereka untuk mulai mempertaruhkan: 9,4%. Dengan hadiah awal Ethereum 2.0 itu dapat berkisar hingga 20%, ada potensi besar untuk menangkap pemegang ETH yang ragu-ragu ini.

Sisa dari Codefi Activate Ethereum 2.0 Staking Report merinci preferensi segmen pemegang ETH ini dan mengidentifikasi poin penting yang harus dipertimbangkan oleh layanan Eth2 dan penyedia klien saat menawarkan produk kepada konsumen. Catatan khusus adalah kebutuhan berkelanjutan untuk pendidikan seputar mekanisme Ethereum 2.0, keamanannya, dan insentif ekonomi. Kurang dari 35% responden menunjukkan pemahaman yang ‘baik’ tentang ekonomi Ethereum 2.0. 

Unduh Laporan Staking Ecosystem Eth 2.0

Untuk kepentingan mempromosikan pendidikan dan pemahaman, ConsenSys telah meluncurkan basis Pengetahuan Ethereum 2.0 untuk terus menyediakan informasi Ethereum 2.0 terbaru untuk audiens teknis dan non-teknis..

Kunjungi Basis Pengetahuan Eth 2.0

Ucapan Terakhir

Terima kasih telah mengikuti buletin ini. Kami berharap Anda memiliki kesempatan untuk menyimak dalam seminggu terakhir ini ke KTT Ethereal virtual yang pertama. Jika tidak (atau jika Anda hanya ingin menonton favorit Anda lagi), lihat pidato dan panel yang diunggah dari seluruh ekosistem Ethereum dan blockchain, termasuk Codefi, di Ethereal YouTube. Sementara itu, ikuti kami Indonesia, pelajari lebih lanjut di situs web kami, dan beri tahu kami pendapat Anda. Baik Anda tertarik untuk bekerja sama dengan kami, untuk kami, atau hanya ingin menyapa, jangan ragu untuk menghubungi kami.

Meneruskan pesan ini? Daftar untuk pembaruan bulanan.

Sampai nanti, 

Tim ConsenSys Codefi

DeFiNewsletterPembaruan ProdukNewsletterBerlangganan buletin kami untuk berita Ethereum terbaru, solusi perusahaan, sumber daya pengembang, dan banyak lagi.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map