blogul 1NewsDevelopersEnterpriseBlockchain Explained Evenimente și conferințe ApăsațiBuletine informative

Aboneaza-te la newsletter-ul nostru.

Adresa de email

Vă respectăm confidențialitatea

AcasăBlogCodefi

NEWSLETTER # 5: Gânduri cu privire la securitatea DeFi

de Nicole Adarme 12 mai 2020 Postat pe 12 mai 2020

caracteristică codefi

Buna prietene,

Sperând că acest e-mail vă va găsi bine și adaptat (sau adaptat) la noile noastre modele de comportament. Dacă v-ați conectat la primul Summit eteric virtual săptămâna trecută, ați auzit multe despre semnificația DeFi pe Ethereum și despre viitorul rețelei odată cu lansarea Ethereum 2.0. Așadar, pentru buletinul informativ din această lună, ne-am gândit să vă aducem actualizări despre ambele.

Întrebarea de securitate în aplicațiile DeFi

2020 s-a dovedit a fi un an critic pentru ecosistemul Ethereum DeFi. În plus față de sărbătorirea a peste 1 miliard de dolari SUA blocat în DeFi și reperele semnificative ale platformei, industria a fost supusă unor apariții frecvente de incidente minore și majore de securitate atât în ​​aplicațiile DeFi noi, cât și în cele stabilite. Evenimentele bZx și Maker din februarie și martie au fost bine acoperite, dar am adus câteva date și informații despre evenimentele recente din protocoalele Uniswap și Lendf.me, în special în ceea ce privește compromisul standardului token ERC-777 care le-a permis hackerilor să scurgeți cripto în valoare de 25 milioane USD pe 18 aprilie & 19. 

Jetonul imBTC este un jeton ERC-777 lansat de Tokenlon, un DEX care rulează pe protocolul 0x. Atât în ​​incidentele Uniswap, cât și în cele Lendf.me, hackerul (ii) a exploatat o vulnerabilitate de reentrare care a apărut din incompatibilitatea dintre standardul de jeton ERC-777 și protocoalele DeFi. În linii mari, vulnerabilitatea de reintrare a permis hackerului să cheltuiască din nou depozitele inițiale de imBTC, oferindu-le efectiv capital nelimitat pentru a promova tranzacții sau împrumuturi.

Uniswap:

Atacul a fost posibil, deoarece Uniswap V1 nu are măsuri pentru a se proteja împotriva acestui tip de atac de reintrare atunci când interacționează cu standardul ERC-777. În total, hackerul a eliminat ~ 300k $ USD în imBTC și ETH (~ 141k $ ETH + ~ 160k $ imBTC). 

Interesant este că acest vector de atac nu a fost necunoscut pentru Uniswap sau pentru comunitatea criptografică în general. Aproape exact cu un an înainte de atacul Uniswap, ConsenSys Diligence – serviciul de audit de securitate oferit de ConsenSys – identificate și publicate vectorul de atac de reintrare ERC-777. Uniswap avea planuri de abordare a vectorului de atac, așa cum se subliniază în documentele lor 23 martie postare pe blog despre caracteristicile Uniswap V2.

graficul 1.png

Lendf.me

Incidentul Lendf.me a exploatat aceeași vulnerabilitate de reintrare pusă la dispoziție de compatibilitatea incompletă dintre protocolul de creditare și standardul de jeton ERC-777, dar într-un grad mult mai extins de succes. Aproape 100% din fondurile Lendf.me – peste 24 milioane USD – au fost epuizate în timpul atacului din 19 aprilie.

Spre deosebire de evenimentul Uniswap, fondurile furate nu s-au limitat doar la ETH și imBTC. Deși majoritatea fondurilor furate au fost WETH (10,8 milioane de dolari), USDT și HBTC au compensat încă 9,7 milioane de dolari, urmate de cel puțin alte 16 jetoane. Graficele de mai jos arată distribuția activelor fondurilor compromise și volumele lunare de jetoane de pe Lendf.me care au condus la atacul din 19 aprilie.

graficul 2.png

graficul 3.png

Într-o întorsătură neașteptată a evenimentelor, hackerul (i) Lendf.me a returnat fondurile furate protocolului, potrivit a expus accidental o adresă IP în timpul atacului. Diagrama Sankey de mai jos arată fluxul de fonduri după hack. Fondurile au părăsit contractul Lendf.me (verde), au trecut prin contractul de gestionare (gri) și la adresa hackerului (negru). După ce IP-ul a fost dezvăluit, hackerul a transferat fondurile înapoi la adresa de administrator Lendf.me, care apoi a transferat fondurile la o adresă de recuperare (ambele în culoarea mov). Extrema dreaptă a graficului, în care diagrama curge în mai multe fluxuri individuale de fonduri, marchează momentul în care Lendf.me fonduri returnate utilizatorilor individuali.

graficul 4.png

Ce înseamnă acest lucru pentru DeFi?

În ciuda acestor valuri de incidente de securitate pe protocoalele DeFi, industria este încă copleșitoare pozitiv despre oportunitățile DeFi și impulsul pe care îl aduce Ethereum. Statisticile obiective DeFi susțin sentimentul pozitiv. Ca răspuns la evenimentele de securitate din acest an și la presiunile considerabile ale pieței începând din martie, ETH blocat a scăzut de la maximul istoric în februarie. Cu toate acestea, nivelurile au scăzut doar până la cifrele din decembrie 2019. Aceste statistici, chiar și în fața incidentelor de securitate de profil înalt, sugerează că ecosistemul DeFi în ansamblu a depășit un anumit punct de „lipsă de întoarcere”. Deși încrederea în protocoalele individuale a suferit, angajamentul general față de paradigmele emergente ale finanțelor descentralizate a rămas puternic.

În timpul acestor incidente de securitate din 2020, comunitatea Ethereum a concentrat atenția asupra modalităților de prevenire și reacție la evenimentele viitoare. În general, există propunerea de valoare a tuturor acestor hack-uri care apar pe tehnologia deschisă. Fără a avea nevoie de o permisiune sau un acces special, auditorii de securitate terți și dezvoltatorii de dapp au putut analiza în mod liber incidentele, avertiza împotriva altor slăbiciuni și propune remedieri pentru viitoarele aplicații DeFi. Aceste incidente dezvăluie etosul cooperativ al software-ului deschis și pregătesc scena pentru un ecosistem mai sigur. În special:

Instrumente de monitorizare DeFi: Folosind deschiderea blockchain-ului Ethereum, o serie de instrumente de monitorizare legate de DeFi sunt disponibile publicului pentru a interacționa mai încrezător cu aplicațiile financiare. Codefi Inspect este un instrument open source pentru a agrega informații de securitate critice despre protocoalele DeFi, inclusiv audituri publice, detalii cheie de administrator, dependență de oracol și activitate în lanț. Codefi Scorul DeFi este o valoare a riscului platformei care poate fi comparată între protocoale pentru a informa mai bine deciziile utilizatorilor atunci când aleg între aplicațiile DeFi.

Transparența securității: Dap-urile devin din ce în ce mai deschise cu privire la vulnerabilitățile de securitate identificate. Uniswap a recunoscut problema ERC-777 Postare pe blog martie 2020. Un dezvoltator din protocolul de tranzacționare Hegic a publicat un „post-mortem” deschis despre o eroare din codul ei care făcea unele fonduri inaccesibile. Protocol de schimb Loopring a identificat o vulnerabilitate front-end, a întrerupt schimbul, anunțat comunității, și a lucrat pentru a remedia problema. Acest tip de transparență este crucial pentru construirea încrederii între utilizatorii noi și existenți și pentru scalarea unei rețele mai sigure de protocoale DeFi.

Asigurare DeFi: Asigurările bazate pe blockchain au existat de ceva vreme, dar au fost concentrate în ultimele luni. Nexus Mutual – un veteran al asigurărilor blockchain – și mai recent Opyn au (re) apărut ca jucători de top în această industrie DeFi adiacentă. Este probabil ca vulnerabilitățile de securitate să existe în orice domeniu tehnologic, indiferent dacă este în curs de dezvoltare sau în funcție. Cu cât există mai multe măsuri de protecție alături de aceste tehnologii, cu atât este mai ușoară calea spre adoptarea pe scară largă.

Quick Codefi Hits

Următorul webinar

CBDC și Stablecoins

14 mai 2020

Inregistreaza-te

cbdc.jpg

Stare + de + Staking + Webinar + Featured + (1) .png

Următorul webinar

Starea Staking

19 mai 2020

Inregistreaza-te

Anunțuri

  • Nou la Newsletter și la Codefi? Verifică acest videoclip explicativ despre ConsenSys Codefi.

  • Feedback ConsenSys Codefi: TLDR; vrem să ajungem la te cunosc mai bine și va dura 3 minute.

  • API-ul Codefi Data: Cu API-ul de date, dezvoltatorii, investitorii, companiile și pasionații de DeFi pot acum să recupereze date de risc într-un format ușor de integrat, care susține mai bine proiectele lor. Contactați-vă pentru a începe cu API-ul. 

  • Rata DeFi: CodeFi lansează un nou instrument de gestionare a riscurilor pentru împrumuturile DeFi: inspectați. Lansat luna trecută, Codefi Inspect este un proiect open source dedicat transparenței protocolului în DeFi, urmărind toate auditurile publice, detaliile cheii de administrare, dependența de oracol și activitatea în lanț. 

  • Aștepți cu nerăbdare Ethereum 2.0? Codefi Activate a creat un calculator Eth2 pentru a ajuta deținătorii de ETH să înceapă să stabilească ce fel de recompense ar putea anticipa din miza în rețea. Calculați-vă recompensele potențiale ETH.

  • Raportul Codefi Asset privind utilizarea blockchain-ului pentru a împuternici sistemele de educație municipale pe măsură ce trec la învățarea digitală în timpul COVID-19. 

  • Un raport recent al ConsenSys Codefi examinează preferințele, așteptările și punctele de durere ale deținătorilor de ETH în timp ce așteaptă înainte lansarea Ethereum 2.0 și oportunitatea de a juca ETH. Citiți Raportul Ecosistemului Staking Eth2.

Spotlight Codefi:

Raportul Ethereum 2.0 Staking Ecosystem Report

Lansarea Ethereum 2.0 (Eth2) în 2020 prezintă o etapă critică și mult așteptată a rețelei. Lansarea cu succes a rețelei va impune deținătorilor ETH să aleagă depunerea ETH ca miză pe noua rețea Proof of Stake. Pentru a înțelege motivațiile, preferințele și comportamentele titularilor de ETH care intenționează (sau nu) să mizeze pe Ethereum 2.0, Codefi Activate a chestionat ~ 300 de deținători de ETH. Aceste concluzii au fost colectate în Raportul Ecosistemului Staking Ethereum 2.0. 

Dintre toți respondenții, peste 65% intenționează să participe la Ethereum 2.0. Doar 17% au fost fie indecisi (14%), fie au decis să nu participe (~ 3%). Dintre respondenții care intenționează să mizeze, aceștia sunt împărțiți aproximativ 50/50 între planificarea de a rula propriile noduri de validare și planificarea utilizării unui serviciu de miză terță parte. Cu toate acestea, ambele segmente intenționează să dețină aproximativ 50% din ETH deținute.

graficul 5.png

Un stimulent cheie pentru participarea deținătorilor de ETH în rețeaua Ethereum 2.0 este potențialul pentru recompense de blocuri sub forma ETH. Când sunt întrebați ce procentaj% ar valida participarea lor la Eth2, respondenții care intenționează să-și desfășoare proprii validatori ar necesita în medie 5,8% rentabilități (din ETH mizat). Cu toate acestea, cei care intenționează să utilizeze un serviciu terță parte ar necesita recompense ușor mai mari – în medie 7,6%. Această discrepanță de 2% ar putea proveni de la cei care intenționează să utilizeze o terță parte, având în vedere că serviciile respective vor percepe o taxă pentru utilizare. Interesant este faptul că persoanele care sunt în prezent nedecise dacă vor miza sau nu ar necesita recompense și mai mari pentru a-i convinge să înceapă miza: 9,4%. Cu inițialul Ethereum 2.0 recompensează acest lucru poate varia până la 20%, există un potențial considerabil de a captura acești deținători de ETH indecisi.

Restul Raportului de mizare Codefi Activate Ethereum 2.0 detaliază preferințele acestor segmente de deținători de ETH și identifică serviciile cheie Eth2 pentru clienți, iar furnizorii clienților ar trebui să ia în considerare atunci când oferă produse consumatorilor. O remarcă deosebită este nevoia continuă de educație cu privire la mecanismele Ethereum 2.0, securitatea acestuia și stimulentele economice. Mai puțin de 35% dintre respondenți au indicat o înțelegere „solidă” a economiei Ethereum 2.0. 

Descărcați Eth 2.0 Staking Ecosystem Report

În interesul promovării educației și a înțelegerii, ConsenSys a lansat baza de cunoștințe Ethereum 2.0 pentru a furniza în mod continuu cele mai actualizate informații Ethereum 2.0 atât pentru publicul tehnic, cât și pentru cel non-tehnic..

Vizitați Baza de cunoștințe Eth 2.0

Observații finale

Vă mulțumim că ați accesat acest buletin informativ. Sperăm că ați avut ocazia să vă acordați săptămâna trecută la primul Summit eteric virtual. Dacă nu (sau dacă doriți doar să vă urmăriți din nou preferatele), consultați discursurile și panourile încărcate din întregul ecosistem Ethereum și blockchain, inclusiv Codefi, pe YouTube eteric. Între timp, urmează-ne Stare de nervozitate, aflați mai multe pe site-ul nostru și anunțați-ne gândurile. Indiferent dacă sunteți interesat să lucrați cu noi, pentru noi sau doriți doar să vă salutați, vă rugăm să ne contactați.

A trimis acest mesaj? Inscrie-te pentru actualizări lunare.

Până la data viitoare, 

Echipa ConsenSys Codefi

DeFiNewsletter Actualizare produs Newsletter Abonați-vă la newsletter-ul nostru pentru cele mai recente știri Ethereum, soluții pentru întreprinderi, resurse pentru dezvoltatori și multe altele.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me