A partir del análisis de los eventos de ataque, explore cómo tratamos a DeFi

Desde 2019, DeFi se ha convertido gradualmente en un punto caliente en la cadena de bloques, y una gran cantidad de fondos comenzó a invertirse en varios proyectos de DeFi. Desde el surgimiento del proyecto Synthetix, los proyectos DeFi han surgido en la mira de la gente. Sin embargo, con el desarrollo continuo de DeFi, los problemas de seguridad de los proyectos DeFi se vuelven cada vez más urgentes.

En el incidente reciente del ataque a Balancer, el atacante usó las lagunas en la combinación del fondo común de Balancer y la moneda deflacionaria para robar $500,000 del fondo común. Menos de 24 horas después, el balanceador fue atacado nuevamente. El atacante aprovechó la función de "préstamo y extracción" de Compound para robar monedas Comp no reclamadas en el fondo común.

Para el primer incidente de ataque, ya lo hemos analizado antes, y los amigos interesados ​​​​pueden pasar a

https://mp.weixin.qq.com/s/ZoqUgtcQ1WevhTgaUD-l_g

Con respecto al segundo incidente de ataque, el autor piensa que el comportamiento del atacante se encuentra entre arrancar lana y un ataque ilegal, y no se puede determinar que se trate de un ataque ilegal.

Por un lado, el atacante de hecho violó el concepto del diseño del contrato de Balancer y usó las lagunas del código en Balancer para robar beneficios que no le pertenecían.

Pero, por otro lado, los fondos robados por el atacante no son el principal en el fondo común, sino las ganancias generadas por la característica de Compound "tomar prestado es minar", e incluso si el atacante no ataca, el contrato de Balancer en sí mismo no es razonable. .distribuye el dinero a los usuarios.

Es como si un supermercado produjera cartones vacíos todos los días. La empresa no tiene reglas claras sobre cómo manejarlos. Generalmente, después de que se amontonan hasta cierto punto, un empleado que los encuentra los vende y el empleado gana beneficios. . En este momento vino un extranjero, se enteró que estos cartones podían generar beneficios, por lo que fue a solicitar empleados, después de vender los cartones, se fue inmediatamente y se fue al siguiente. Después del segundo incidente, el oficial de Balancer no tomó las medidas de reparación relativas, lo que también mostró indirectamente la actitud del oficial, quien puede estar más inclinado a este tipo de comportamiento de "barrer la lana".

En este incidente, estuvieron involucrados un total de tres proyectos DeFi. Equilibrador, dydx y compuesto.

DeFi significa "finanzas descentralizadas" en chino. Su objetivo es utilizar la tecnología blockchain para completar funciones como préstamo, almacenamiento y pago en finanzas tradicionales, acortar el tiempo de transacción en las transacciones financieras, reducir las tarifas de transacción y resolver dificultades transfronterizas.

En la actualidad, los proyectos de moda en DeFi incluyen Compound, Maker, dydx, etc., como se muestra en la siguiente figura:

En los proyectos de DiFi, muchas de las herramientas de la industria financiera tradicional se trasladan directamente a la cadena de bloques, como préstamos y almacenamiento. Pero la cadena de bloques es muy diferente del mundo real y su lógica subyacente es diferente.

Por ejemplo, en el campo financiero tradicional, el "crédito" es la condición fundamental del crédito, y los bancos evaluarán el crédito de una persona para determinar si pueden prestarle. En el mundo cerrado de la cadena de bloques, debido a la privacidad de la cadena de bloques, la dirección no se puede asociar con una persona y no hay un atributo de "crédito". Si desea lograr "crédito", debe tener un oráculo para obtener información del mundo real.

Pero es precisamente por la diferencia entre blockchain y el mundo real que DeFi puede lograr algunas funciones que no se pueden realizar en el mundo real.

En el primer incidente de balancer, el atacante utilizó a dydx para pedir prestados 30 millones de dólares estadounidenses, pero no necesitaba ninguna garantía. Esto es imposible en el campo financiero tradicional. Los métodos de préstamo en el campo financiero tradicional utilizan "hipoteca de activos" o "hipoteca de crédito" como un medio para evitar los riesgos crediticios, pero debido a las características de la cadena de bloques, se puede lograr. la transacción se revierte, por lo que es posible realizar 0 garantías para préstamos a gran escala.

dydx permite a los usuarios hacer un préstamo grande sin garantía, y el usuario solo necesita pagar el préstamo en una transacción. Si el usuario no devuelve el préstamo después de una transacción, la transacción se revertirá y el dinero gastado se puede recuperar, evitando así el riesgo principal. Aunque el préstamo debe devolverse en una sola transacción, el contrato inteligente permite al usuario realizar múltiples operaciones en una sola transacción. En esta transacción, el usuario puede comprar una gran cantidad de ciertos tokens a un precio bajo y venderlos a un precio alto. Incluso si la diferencia de precio es muy pequeña, se pueden lograr rendimientos considerables sobre la base de una gran cantidad de capital. Si se sitúa en el campo financiero tradicional, por lo general es difícil lograr este tipo de operaciones. Pero con dydx, cualquiera puede obtener esta "enorme cantidad de dinero".

Siempre hay dos aspectos en la aparición de cosas nuevas: mientras que los préstamos flash de dydx brindan a la gente común la posibilidad de usar grandes sumas de dinero, también brindan ayuda a los piratas informáticos que se esconden en la oscuridad. Al igual que Balancer fue atacado por primera vez, si no hay dydx, el pirata informático debe recaudar una gran cantidad de capital para evacuar los tokens deflacionarios en el grupo de fondos; de lo contrario, el ataque no será posible.

En las finanzas tradicionales, los usuarios deben pagar tarifas de administración a agencias de administración de terceros para equilibrar sus propios activos y proteger los valores de los activos. Pero la aparición de Balancer rompió esta situación y los propietarios de activos pueden proteger el valor de sus activos mediante el cobro de tarifas.

Balancer permite a los usuarios crear su propio grupo de fondos y poner sus propios activos diferentes en el grupo. Cuando los precios de mercado de diferentes activos cambian, la diferencia de precio formada inducirá a los arbitrajistas a intercambiar en el grupo de fondos, de modo que los fondos en el grupo de fondos El contenido de varias fichas alcanza un equilibrio. Los arbitrajistas obtienen beneficios a través de un comportamiento de arbitraje y, por lo tanto, los propietarios de fondos equilibran los valores de los activos.

Suponiendo que hay dos tokens, DAI y WBTC, en un grupo de fondos, cuando DAI se aprecia externamente, la proporción de DAI a WBTC disminuirá, lo que inducirá a los arbitrajistas a cambiar su WBTC por DAI en este grupo de fondos hasta que los fondos La relación de intercambio del grupo es el mismo que el del exterior, lo que hace que las tenencias de DAI en el grupo de fondos aumenten y el valor total disminuya. Cuando DAI se deprecia externamente, inducirá a los arbitrajistas a convertir su DAI en WBTC, porque antes tenían una gran cantidad de DAI y el valor general ha aumentado nuevamente. Después de operaciones continuas de arbitrajistas, siempre se mantiene un saldo en el fondo común.

No hay muchos problemas con el modelo de fondo común de Balancer, pero causará problemas cuando encuentre tokens especiales como moneda deflacionaria o Compound. El núcleo del grupo de fondos de Balancer es la relación de cambio cambiante. En circunstancias normales, esta relación cambiará con la entrada y salida de diferentes tokens, de modo que la cantidad en el grupo pueda alcanzar un equilibrio. Sin embargo, cuando se encuentran monedas especiales como monedas deflacionarias o compuestas, los datos de entrada y salida tendrán errores con los datos utilizados para calcular la relación.Este error permite a los atacantes atacar y obtener ganancias.

No es difícil ver en los dos proyectos anteriores que DeFi no es simplemente una cuestión de mover el sistema financiero del mundo real a la cadena. Debido a la diferencia en la capa inferior, DeFi puede hacer muchas cosas que el sistema financiero real no puede hacer, como préstamos hipotecarios cero, remesas transfronterizas y otras funciones muy prometedoras. Pero aún existen grandes riesgos y problemas que conlleva, como la forma de comunicarse con el mundo real, cómo obtener la aprobación del gobierno y cómo resolver problemas de seguridad.

"Dadme un punto de apoyo y podré mover la tierra". En comparación con las finanzas tradicionales, la capa inferior de DeFi se basa en contratos inteligentes, que son esencialmente programas.Los programas tienen una eficiencia y conveniencia incomparables en comparación con las finanzas tradicionales, pero también hay lagunas en el código que las finanzas tradicionales no necesitan considerar. Si los piratas informáticos encuentran ese "punto de apoyo" en el contrato inteligente, pueden aprovechar fácilmente decenas de millones de activos.

Por lo tanto, Chengdu Lianan recomienda que los lectores traten a DeFi de manera racional, elijan proyectos seguros y prometedores para una inversión racional, hagan un buen trabajo de investigación antes de invertir y estén atentos a los proyectos que no han revelado contratos inteligentes e informes de auditoría.

Tags：

Precio de Bitcoin USD