NAUJIENŲ LAPELIS # 5: mintys apie „DeFi Security“

1 dienoraštisNewsDevelopersEnterpriseBlockchain ExplainedEvents and ConferencesPressNaujienlaiškiai

Užsiprenumeruokite mūsų naujienlaiškį.

Elektroninio pašto adresas

Mes gerbiame jūsų privatumą

Pagrindinis dienoraštisCodefi

NAUJIENŲ LAPELIS # 5: mintys apie „DeFi Security“

pateikė Nicole Adarme 2020 m. gegužės 12 d. paskelbta 2020 m. gegužės 12 d

kodefi funkcija

Ei, drauge,

Tikėdamiesi, kad šis el. Laiškas jus gerai ras ir pritaikysite (arba prisitaikysite) prie mūsų naujų elgesio modelių. Jei surengėte pirmąjį praėjusią savaitę vykusį „Ethereal Summit“ susitikimą, daug girdėjote apie „DeFi“ svarbą „Ethereum“ ir tinklo ateitį paleidus „Ethereum 2.0“. Taigi šio mėnesio naujienlaiškiui pagalvojome, kad pateiksime jums naujienų apie abu dalykus.

„DeFi“ programų saugumo klausimas

2020 metai pasirodė kritiški „Ethereum DeFi“ ekosistemai. Be to, kad švenčiama daugiau nei 1 mlrd. USD užrakinta „DeFi“ ir reikšmingi platformos etapai, pramonė dažnai susiduria su nedideliais ir dideliais saugumo incidentais tiek naujose, tiek jau įdiegtose „DeFi“ programose. Vasario ir kovo mėn. „BZx“ ir „Maker“ įvykiai buvo gerai aprėpti, tačiau mes įtraukėme keletą duomenų ir įžvalgų apie naujausius įvykius „Uniswap“ ir „Lendf.me“ protokoluose, ypač apie kompromisą dėl ERC-777 žetonų standarto, kuris leido įsilaužėliams balandžio 18 d. nutekės 25 mln. dolerių vertės šifravimas & 19 d. 

„ImBTC“ prieigos raktas yra „ERC-777“ prieigos raktas, kurį išleido Tokenlonas, DEX, veikiantis 0x protokolu. Ir „Uniswap“, ir „Lendf.me“ atvejais hakeris (-ai) išnaudojo pakartotinio įsilaužimo pažeidžiamumą, kuris atsirado dėl nesuderinamumo tarp ERC-777 žetonų standarto ir „DeFi“ protokolų. Apskritai, įsidarbinimo pažeidžiamumas leido hakeriui iš esmės išleisti pirminius imBTC indėlius, veiksmingai suteikiant jiems neribotą kapitalą sandoriams ar paskoloms vykdyti.

Panaikinti:

Ataka tapo įmanoma, nes „Uniswap V1“ neturi priemonių apsisaugoti nuo tokio tipo pakartotinio užpuolimo, kai bendraujama su ERC-777 standartu. Iš viso įsilaužėlis pašalino ~ $ 300k USD imBTC ir ETH (~ $ 141k ETH + ~ 160k imBTC). 

Įdomu tai, kad šis atakos vektorius nebuvo žinomas „Uniswap“ ar apskritai kripto bendruomenei. Beveik lygiai metus prieš „Uniswap“ ataką „ConsenSys Diligence“ – „ConsenSys“ siūloma saugumo audito paslauga – nustatyti ir paskelbti ERC-777 grįžimo į atakas vektorius. „Uniswap“ turėjo planų išspręsti atakos vektorių, kaip nurodyta jų planuose Kovo 23 dienoraščio įrašas apie „Uniswap V2“ funkcijas.

diagrama 1.png

Lendf.me

„Lendf.me“ įvykis išnaudojo tą patį pakartotinio įsidarbinimo pažeidžiamumą, kurį padarė nepakankamas skolinimo protokolo ir „ERC-777“ žetonų standarto suderinamumas, tačiau kur kas sėkmingiau. Beveik 100% „Lendf.me“ lėšų – daugiau nei 24 mln. USD – buvo išeikvota per ataką balandžio 19 d.

Skirtingai nei „Uniswap“ renginyje, pavogtos lėšos nebuvo ribojamos tik ETH ir imBTC. Nors didžioji dalis pavogtų lėšų buvo WETH (10,8 mln. USD), USDT ir HBTC sudarė dar 9,7 mln. USD, o po jų – dar bent 16 žetonų. Žemiau esančiose diagramose parodytas pažeistų lėšų paskirstymas turtu ir mėnesio žetonų kiekis „Lendf.me“, įvykęs po atakos balandžio 19 d..

diagrama 2.png

diagrama 3.png

Netikėtai įvykus įvykiui, „Lendf.me“ įsilaužėlis (-iai) grąžino pavogtas lėšas į protokolą, nes jie netyčia atidengėte IP adresą atakos metu. Žemiau esančioje Sankey diagramoje parodomas lėšų srautas po įsilaužimo. Lėšos paliko „Lendf.me“ sutartį (žalia), vykdė tvarkytojo sutartį (pilka) ir įsilaužėlio adresu (juoda). Po IP atskleidimo įsilaužėlis pervedė lėšas atgal į „Lendf.me“ administratoriaus adresą, kuris vėliau pervedė lėšas į atkūrimo adresą (abu violetinės spalvos). Dešinėje grafiko dešinėje, kur diagrama išteka į daugelį atskirų fondų srautų, pažymimas momentas, kai „Lendf.me“ grąžinamos lėšos atskiriems vartotojams.

diagrama 4.png

Ką tai reiškia „DeFi“?

Nepaisant šių saugumo incidentų bangų „DeFi“ protokoluose, pramonė vis dar yra didžiulė teigiamas apie „DeFi“ galimybes ir impulsą, kurį jis teikia „Ethereum“. Objektyvi „DeFi“ statistika palaiko teigiamą nuotaiką. Reaguodama į šių metų saugumo įvykius ir didelį rinkos spaudimą, prasidėjusį kovo mėnesį, užrakinta ETH sumažėjo nuo visų laikų vasario mėnesio rekordo. Tačiau lygis sumažėjo tik iki 2019 m. Gruodžio mėn. Šie statistiniai duomenys, net ir atsižvelgiant į aukšto lygio saugumo incidentus, rodo, kad visa „DeFi“ ekosistema viršijo tam tikrą „negrįžimo“ tašką. Nors pasitikėjimas atskirais protokolais nukentėjo, bendras įsipareigojimas laikytis kylančių decentralizuoto finansų paradigmų išliko tvirtas.

Per šiuos 2020 m. Saugumo incidentus Ethereum bendruomenė sutelkė dėmesį į būdus, kaip užkirsti kelią būsimiems įvykiams ir reaguoti į juos. Paprastai kalbant, yra visų šių įsilaužimų vertės pasiūlymas, vykdomas atviroje technologijoje. Nereikalaujant specialaus leidimo ar prieigos, trečiųjų šalių saugos auditoriai ir „Dapp“ kūrėjai galėjo laisvai analizuoti įvykius, įspėti apie kitas silpnybes ir pasiūlyti būsimų „DeFi“ programų taisymus. Šie įvykiai atskleidžia atvirosios programinės įrangos bendradarbiavimo etosą ir sukuria saugesnės ekosistemos pagrindą. Visų pirma:

„DeFi“ stebėjimo įrankiai: Pasinaudojant „Ethereum“ blokų grandinės atvirumu, daugybė su „DeFi“ susijusių stebėjimo įrankių yra prieinami visuomenei, kad jie galėtų užtikrintiau bendrauti su finansinėmis programomis.. „Codefi“ tikrinimas yra atvirojo kodo įrankis, skirtas kaupti svarbią saugos informaciją apie „DeFi“ protokolus, įskaitant viešus auditus, pagrindinę administratoriaus informaciją, priklausomybę nuo „Oracle“ ir grandinės veiklą. Codefi „DeFi“ rezultatas yra platformos rizikos vertė, kurią galima palyginti visuose protokoluose, siekiant geriau informuoti vartotojų sprendimus renkantis tarp „DeFi“ programų.

Saugumo skaidrumas: Dappai tampa vis atviresni dėl nustatytų saugumo spragų. „Uniswap“ juose pripažino ERC-777 problemą 2020 m. Kovo dienoraščio įrašas. Kūrėjas iš prekybos protokolo „Hegic“ paskelbė atvirą „pomirtinį“ apie jos kodo klaidą, dėl kurios kai kurios lėšos buvo neprieinamos. „Exchange“ protokolas „Loopring“ nustatė front-end pažeidžiamumą ir pristabdė mainus, paskelbta bendruomenei, ir stengėsi išspręsti problemą. Toks skaidrumas yra labai svarbus norint sukurti pasitikėjimą tarp naujų ir esamų vartotojų bei išplėsti saugesnį „DeFi“ protokolų tinklą..

„DeFi“ draudimas: „Blockchain“ pagrindu veikiantis draudimas egzistuoja kurį laiką, tačiau per pastaruosius kelis mėnesius jis buvo sutelktas į dėmesį. „Nexus Mutual“ – „blockchain“ draudimo veteranas – ir visai neseniai Opyn (vėl) pasirodė kaip geriausi gretimos „DeFi“ pramonės žaidėjai. Saugumo pažeidžiamumas greičiausiai egzistuoja bet kurioje naujai atsirandančioje ar esamoje technologijų srityje. Kuo daugiau apsaugos priemonių yra kartu su šiomis technologijomis, tuo lengvesnis kelias į visuotinį įsisavinimą.

„Quick Codefi Hits“

Būsimas internetinis seminaras

CBDC ir Stablecoins

2020 m. Gegužės 14 d

Registruotis

cbdc.jpg

+ Būsimo + internetinio seminaro + siūlomų + (1) .png būsena

Būsimas internetinis seminaras

Draudimo būklė

2020 m. Gegužės 19 d

Registruotis

Skelbimai

  • Naujiena naujienlaiškyje ir „Codefi“? Patikrinkite šį aiškinamąjį vaizdo įrašą apie „ConsenSys Codefi“.

  • „ConsenSys Codefi“ atsiliepimai: TLDR; mes norime patekti pažįstu jus geriau ir tai užtruks 3 minutes.

  • „Codefi Data“ API: Naudodami duomenų API, kūrėjai, investuotojai, įmonės ir „DeFi“ entuziastai dabar gali gauti rizikos duomenis lengvai integruotu formatu, kuris geriau palaiko jų projektus. Norėdami pradėti nuo API, susisiekite. 

  • „DeFi“ greitis: „CodeFi“ pristato naują „DeFi“ skolinimo rizikos valdymo įrankį: patikrinkite. Praėjusį mėnesį išleistas „Codefi Inspect“ yra atviro kodo projektas, skirtas „DeFi“ protokolo skaidrumui stebėti visus viešus auditus, pagrindinę administratoriaus informaciją, priklausomybę nuo „Oracle“ ir grandinės veiklą. 

  • Laukiate „Ethereum 2.0“? „Codefi Activate“ sukūrė „Eth2“ ​​skaičiuoklę, kad padėtų ETH turėtojams nustatyti, kokio atlygio jie gali tikėtis iš tinklo.. Apskaičiuokite galimą ETH atlygį.

  • „Codefi Asset“ ataskaita apie „blockchain“ naudojimą įgalinant savivaldybių švietimo sistemas pereinant prie skaitmeninio mokymosi COVID-19 metu. 

  • Naujausioje „ConsenSys Codefi“ ataskaitoje nagrinėjami ETH turėtojų pageidavimai, lūkesčiai ir skausmo taškai, kai jie laukia „Ethereum 2.0“ paleidimo ir galimybės sudaryti ETH. Perskaitykite „Eth2 Staking Ecosystem Report“ ataskaitą.

„Codefi“ prožektorius:

„Ethereum 2.0 Staking Ecosystem“ ataskaita

„Ethereum 2.0“ (Eth2) paleidimas 2020 m. Yra kritinis ir ilgai lauktas tinklo etapas. Norint sėkmingai paleisti tinklą, reikės, kad ETH turėtojai pasirinktų įnešti savo ETH kaip dalį naujojo „Proof of Stake“ tinklo. Norėdami suprasti ETH turėtojų, planuojančių (ar ne), dalį „Ethereum 2.0“, motyvaciją, pageidavimus ir elgesį, „Codefi Activate“ apklausė ~ 300 ETH turėtojų. Šios išvados buvo surinktos į „Ethereum 2.0 Staking Ecosystem Report“. 

Tarp visų respondentų daugiau nei 65% planuoja įsigyti „Ethereum 2.0“. Tik 17% buvo neapsisprendę (14%) arba nusprendė nesudaryti akcijų (~ 3%). Iš respondentų, planuojančių sudaryti akcijų paketą, jie yra padalinti maždaug 50/50 tarp planavimo valdyti savo patvirtinimo mazgus ir planavimo naudotis trečiosios šalies akcijų paslauga. Tačiau abu segmentai planuoja užimti maždaug 50% savo turimos ETH.

diagrama 5.png

Pagrindinė paskata ETH turėtojams dalyvauti „Ethereum 2.0“ tinkle yra galimybė gauti blokinį atlygį ETH pavidalu. Paklausti, kiek procentų grąža patvirtintų jų dalyvavimą Eth2, respondentams, planuojantiems valdyti savo patvirtintojus, vidutiniškai reikės 5,8% grąžos (iš susijusių ETH). Tiems, kurie planuoja naudotis trečiosios šalies paslauga, reikėtų šiek tiek didesnio atlygio – vidutiniškai 7,6%. Šis 2% neatitikimas gali būti tas, kuris planuoja naudoti trečiąją šalį, tikėdamasis, kad šios paslaugos už naudojimąsi ims mokestį. Įdomu tai, kad žmonėms, kurie šiuo metu nėra apsisprendę dėl akcijų paketo, reikės dar didesnio atlygio, kad įtikintų juos pradėti statyti: 9,4 proc. Su pradiniu „Ethereum 2.0“ tai apdovanoja gali svyruoti iki 20%, yra didelis potencialas sulaikyti šiuos neapsisprendusius ETH turėtojus.

Likusioje „Codefi Activate Ethereum 2.0 Staking“ ataskaitoje išsamiai aprašomos šių ETH turėtojų segmentų nuostatos ir nurodomos pagrindinės „Eth2“ ​​pasiėmimo paslaugos, į kurias klientų teikėjai turėtų atsižvelgti siūlydami produktus vartotojams. Ypač atkreiptinas dėmesys į nuolatinį švietimo apie „Ethereum 2.0“ mechanizmus, jo saugumą ir ekonomines paskatas poreikį. Mažiau nei 35% respondentų nurodė „patikimą“ supratimą apie „Ethereum 2.0“ ekonomiką. 

Atsisiųskite „Eth 2.0 Staking Ecosystem Report“ ataskaitą

Siekdama skatinti švietimą ir supratimą, „ConsenSys“ įkūrė „Ethereum 2.0“ žinių bazę, kad nuolat teiktų naujausią „Ethereum 2.0“ informaciją tiek techninei, tiek netechninei auditorijai..

Apsilankykite „Eth 2.0“ žinių bazėje

Baigiamosios pastabos

Dėkojame, kad perskaitėte šį naujienlaiškį. Tikimės, kad praėjusią savaitę turėjote galimybę sureguliuoti pirmąjį virtualų Eterų aukščiausiojo lygio susitikimą. Jei ne (arba jei norite dar kartą žiūrėti savo mėgstamiausius), patikrinkite įkeltas kalbas ir diskusijas iš visos „Ethereum“ ir „blockchain“ ekosistemos, įskaitant „Codefi“, „Ethereal YouTube“. Tuo tarpu sekite mus toliau „Twitter“, sužinokite daugiau mūsų svetainėje ir praneškite mums savo mintis. Nesvarbu, ar norite dirbti su mumis, dėl mūsų, ar norite tiesiog pasisveikinti, susisiekite su mumis.

Persiuntė šį pranešimą? Registruotis kas mėnesį.

Iki kito karto, 

„ConsenSys Codefi“ komanda

„DeFiNewsletterProduct UpdateNewsletter“ Užsiprenumeruokite mūsų naujienlaiškį, kuriame rasite naujausias „Ethereum“ naujienas, įmonės sprendimus, kūrėjų išteklius ir dar daugiau.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map