BUTLLETÍ núm. 5: reflexions sobre seguretat DeFi

BUTLLETÍ núm. 5: reflexions sobre seguretat DeFi

bloc 1NewsDevelopersEnterpriseBlockchain ExplainedEvents and ConferencesPressButlletins informatius

Subscriu-te al nostre butlletí.

Correu electrònic

Respectem la vostra privadesa

IniciBlogCodefi

BUTLLETÍ núm. 5: reflexions sobre seguretat DeFi

per Nicole Adarme, 12 de maig de 2020 Publicat el 12 de maig de 2020

característica codefi

Ei amic,

Amb l’esperança que aquest correu electrònic us trobi bé i ajustat (o ajustat) als nostres nous patrons de comportament. Si us heu sintonitzat amb la primera Cimera Etèrea virtual la setmana passada, heu sentit a parlar molt de la importància de DeFi a Ethereum i del futur de la xarxa amb el llançament d’Ethereum 2.0. Per tant, per al butlletí d’aquest mes, vam pensar que us oferiríem novetats sobre tots dos.

La qüestió de seguretat a les aplicacions DeFi

El 2020 ha demostrat ser un any crític per a l’ecosistema Ethereum DeFi. A més de celebrar més de mil milions de dòlars americans bloquejats a DeFi i fites importants de la plataforma, la indústria ha estat objecte de freqüents incidències de seguretat menors i majors tant en aplicacions DeFi noves com establertes. Els esdeveniments de bZx i Maker de febrer i març han estat ben coberts, però hem extret algunes dades i coneixements sobre esdeveniments recents sobre els protocols Uniswap i Lendf.me, específicament sobre el compromís de l’estàndard de token ERC-777 que permetia als pirates informàtics buideu una criptografia de 25 milions de dòlars el 18 d’abril & 19è. 

El testimoni imBTC és un testimoni ERC-777 publicat per Tokenlon, un DEX que s’executa al protocol 0x. Tant en els incidents Uniswap com en Lendf.me, els pirates informàtics van explotar una vulnerabilitat de reentrada que va sorgir de la incompatibilitat entre l’estàndard de token ERC-777 i els protocols DeFi. A grans trets, la vulnerabilitat de reintracció va permetre al pirata informàtic bàsicament tornar a gastar els dipòsits inicials d’imBTC, proporcionant-los efectivament capital il·limitat per promulgar operacions o préstecs..

Uniswap:

L’atac va ser possible perquè Uniswap V1 no té mesures per protegir-se d’aquest tipus d’atac de reentrada quan interactua amb l’estàndard ERC-777. En total, el pirata informàtic va guanyar ~ $ 300k USD en imBTC i ETH (~ $ 141k ETH + ~ $ 160k imBTC). 

Curiosament, aquest vector d’atac no era desconegut per Uniswap ni per a la comunitat criptogràfica en general. Gairebé exactament un any abans de l’atac d’Uniswap, ConsenSys Diligence, el servei d’auditoria de seguretat que ofereix ConsenSys, identificats i publicats el vector d’atac de reentrància ERC-777. Uniswap tenia previst abordar el vector d’atac, tal com s’indica a la seva llista Publicació del blog del 23 de març sobre les funcions d’Uniswap V2.

gràfic 1.png

Lendf.me

L’incident de Lendf.me va explotar la mateixa vulnerabilitat de reintroducció que va proporcionar la incompatibilitat incompleta entre el protocol de préstec i l’estàndard de token ERC-777, però amb un grau d’èxit molt més ampli. Gairebé el 100% dels fons de Lendf.me (més de 24 milions de dòlars) es van esgotar durant l’atac del 19 d’abril.

A diferència de l’esdeveniment Uniswap, els fons robats no es limitaven només a ETH i imBTC. Tot i que la majoria dels fons robats eren WETH (10,8 milions de dòlars), USDT i HBTC van compensar 9,7 milions de dòlars addicionals, seguits d’almenys 16 fitxes més. Els gràfics següents mostren la distribució d’actius de fons compromesos i els volums de fitxes mensuals a Lendf.me abans de l’atac del 19 d’abril..

gràfic 2.png

gràfic 3.png

En un gir inesperat, els pirates informàtics de Lendf.me van retornar els fons robats al protocol, segons els informes, perquè ha exposat accidentalment una adreça IP durant l’atac. El diagrama de Sankey següent mostra el flux de fons després del pirateig. Els fons van deixar el contracte Lendf.me (verd), van passar pel contracte de manipulador (gris) i van arribar a l’adreça del pirata informàtic (negre). Després de revelar la IP, el pirata informàtic va tornar a transferir els fons a l’adreça d’administrador de Lendf.me, que després va transferir els fons a una adreça de recuperació (ambdues en color violeta). L’extrem dret del gràfic, on el diagrama desemboca a molts fluxos de fons individuals, marca el moment en què Lendf.me fons retornats a usuaris individuals.

gràfic 4.png

Què significa això per a DeFi?

Malgrat aquestes onades d’incidents de seguretat als protocols DeFi, la indústria continua sent aclaparadora positiu sobre les oportunitats de DeFi i l’impuls que està aportant a Ethereum. Les estadístiques objectives de DeFi donen suport al sentiment positiu. En resposta als esdeveniments de seguretat d’aquest any i a les pressions considerables del mercat que van començar al març, l’ETH bloquejat ha disminuït des del màxim històric al febrer. No obstant això, els nivells només han baixat fins als números de desembre de 2019. Aquestes estadístiques, fins i tot davant d’incidents de seguretat de gran perfil, suggereixen que l’ecosistema DeFi en el seu conjunt ha superat algun punt de “no retorn”. Tot i que la confiança en els protocols individuals s’ha vist afectada, el compromís global amb els paradigmes emergents de les finances descentralitzades s’ha mantingut fort.

Durant aquests incidents de seguretat del 2020, la comunitat Ethereum ha centrat l’atenció en maneres de prevenir i respondre a esdeveniments futurs. En termes generals, hi ha la proposta de valor de tots aquests hacks que es produeixen en tecnologia oberta. Sense necessitat d’un permís o accés particulars, els auditors de seguretat i els desenvolupadors de dapp de tercers han pogut analitzar lliurement els incidents, advertir d’altres debilitats i proposar solucions per a futures aplicacions DeFi. Aquests incidents revelen l’ètica cooperativa del programari obert i preparen les bases d’un ecosistema més segur. En particular:

Eines de control de DeFi: Aprofitant l’obertura de la cadena de blocs d’Ethereum, hi ha disponibles una gran quantitat d’eines de monitoratge relacionades amb DeFi per interactuar amb més seguretat amb les aplicacions financeres.. Codefi Inspect és una eina de codi obert per agregar informació de seguretat crítica sobre els protocols DeFi, incloses les auditories públiques, els detalls de la clau d’administració, la dependència d’oracle i l’activitat en cadena. Codefi’s Puntuació DeFi és un valor del risc de plataforma que es pot comparar entre protocols per informar millor les decisions dels usuaris a l’hora de triar entre les aplicacions DeFi.

Transparència de seguretat: Els Dapps són cada vegada més oberts sobre les vulnerabilitats de seguretat identificades. Uniswap va reconèixer el problema ERC-777 al seu fitxer Publicació de bloc de març de 2020. Un desenvolupador del protocol de negociació Hegic va publicar un post-mortem obert sobre un error al seu codi que feia que alguns fons fossin inaccessibles. Protocol d’intercanvi Loopring va identificar una vulnerabilitat frontal, va aturar l’intercanvi, anunciada a la comunitat, i va treballar per solucionar el problema. Aquest tipus de transparència és crucial per generar confiança entre els usuaris nous i existents i per escalar una xarxa més segura de protocols DeFi.

Assegurança DeFi: L’assegurança basada en blockchain existeix des de fa un temps, però s’ha posat de relleu en els darrers mesos. Nexus Mutual – un veterà de l’assegurança blockchain – i més recentment Opyn han (re) emergit com els millors jugadors d’aquesta indústria de DeFi adjacent. És probable que existeixin vulnerabilitats de seguretat en qualsevol camp tecnològic, ja sigui emergent o actual. Com més mesures de protecció hi hagi junt amb aquestes tecnologies, més fàcil serà el camí cap a una adopció generalitzada.

Èxits ràpids de Codefi

Pròxim seminari web

CBDC i Stablecoins

14 de maig de 2020

Registra’t

cbdc.jpg

Estat + de + aposta + seminari web + destacat + (1) .png

Pròxim seminari web

L’estat de joc

19 de maig de 2020

Registra’t

Anuncis

  • Novetat al butlletí de notícies i a Codefi? Fes una ullada aquest vídeo explicatiu sobre ConsenSys Codefi.

  • ConsenSys Codefi Comentaris: TLDR; volem arribar a et conec millor i trigaràs 3 minuts.

  • API de dades Codefi: Amb l’API de dades, desenvolupadors, inversors, empreses i entusiastes del DeFi ara poden recuperar dades de risc en un format fàcil d’integrar que admeti millor els seus projectes. Poseu-vos en contacte per començar amb l’API. 

  • Tarifa DeFi: CodeFi llança una nova eina de gestió de riscos de préstecs DeFi: inspeccioneu. Publicat el mes passat, Codefi Inspect és un projecte de codi obert dedicat a la transparència de protocols a DeFi, que fa un seguiment de totes les auditories públiques, detalls de les claus d’administrador, dependència d’oracle i activitat en cadena.. 

  • Teniu ganes d’Ethereum 2.0? Codefi Activate ha creat una calculadora Eth2 per ajudar els titulars d’ETH a començar a determinar quin tipus de recompenses podrien anticipar si participaven a la xarxa. Calculeu les recompenses potencials de l’ETH.

  • Informe de Codefi Asset sobre l’ús de blockchain per potenciar els sistemes educatius municipals mentre transiten cap a l’aprenentatge digital en temps de COVID-19. 

  • Un informe recent de ConsenSys Codefi examina les preferències, expectatives i punts de dolor dels titulars d’ETH a l’hora de mirar endavant el llançament d’Ethereum 2.0 i l’oportunitat de participar en ETH. Llegiu l’Informe d’Ecosistema de Staking Eth2.

Spotlight Codefi:

L’Ethereum 2.0 Staking Ecosystem Report

El llançament d’Ethereum 2.0 (Eth2) el 2020 presenta una fita crítica i molt esperada de la xarxa. L’èxit del llançament de la xarxa requerirà que els titulars d’ETH elegeixin dipositar la seva ETH com a participació en la nova xarxa de prova d’aposta. Per entendre les motivacions, les preferències i els comportaments dels titulars d’ETH que planifiquen (o no) apostar per Ethereum 2.0, Codefi Activate enquesta ~ 300 titulars d’ETH. Aquestes conclusions es van recollir a l’Informe sobre ecosistemes de participació d’Ethereum 2.0. 

Entre tots els enquestats, més del 65% té previst participar en Ethereum 2.0. Només el 17% estava indecís (14%) o havia decidit no participar (~ 3%). Dels enquestats que preveuen participar, es reparteixen aproximadament un 50/50 entre la planificació d’executar els seus propis nodes de validació i la planificació d’utilitzar un servei de participació de tercers. Tanmateix, ambdós segments preveuen participar aproximadament el 50% de la seva propietat ETH.

gràfic 5.png

Un incentiu clau per a la participació dels titulars d’ETH a la xarxa Ethereum 2.0 és el potencial de recompenses de blocs en forma d’ETH. Quan se’ls pregunta quin percentatge de rendibilitat validaria la seva participació a Eth2, els enquestats que pensin executar els seus propis validadors requeririen, de mitjana, un 5,8% de rendiments (de l’ETH participat). Aquells que tinguin previst utilitzar un servei de tercers, però, requeririen recompenses lleugerament més altes (una mitjana del 7,6%). Aquesta discrepància del 2% pot correspondre a aquells que tenen previst utilitzar un tercer factor de factoring, amb la previsió que aquests serveis cobrin una taxa per l’ús. Curiosament, les persones que actualment no estan decidides sobre si apostaran o no requeririen recompenses encara més altes per convèncer-les de començar a apostar: el 9,4%. Amb l’Ethereum 2.0 inicial es premia això podria variar fins al 20%, hi ha un potencial considerable per capturar aquests indecisos titulars d’ETH.

La resta de l’informe de participació Codefi Activate Ethereum 2.0 detalla les preferències d’aquests segments de titulars d’ETH i identifica el servei Eth2 per emportar que els proveïdors de clients haurien de tenir en compte a l’hora d’oferir productes als consumidors. Cal destacar la necessitat continuada d’educació al voltant dels mecanismes d’Ethereum 2.0, la seva seguretat i els incentius econòmics. Menys del 35% dels enquestats van indicar una comprensió ‘sòlida’ de l’economia d’Ethereum 2.0. 

Descarregueu l’Eth 2.0 Staking Ecosystem Report

Per tal de promoure l’educació i la comprensió, ConsenSys ha llançat la base de coneixement d’Ethereum 2.0 per proporcionar contínuament la informació més actualitzada d’Ethereum 2.0 per a públics tècnics i no tècnics..

Visiteu l’Eth 2.0 Knowledge Base

Observacions finals

Gràcies per llegir aquest butlletí. Esperem que tingueu l’oportunitat de sintonitzar la setmana passada la primera Cimera Etèrea virtual. Si no (o si només voleu tornar a veure els vostres preferits), consulteu els discursos i els taulers penjats de l’ecosistema Ethereum i blockchain, inclòs Codefi, al YouTube eteri. Mentrestant, seguiu-nos Twitter, obteniu més informació al nostre lloc web i feu-nos saber els vostres pensaments. Tant si esteu interessats en treballar amb nosaltres, per a nosaltres, o si només voleu saludar-vos, no dubteu en posar-vos en contacte amb nosaltres.

Ha reenviat aquest missatge? Registra’t per a actualitzacions mensuals.

Fins la propera, 

L’equip ConsenSys Codefi

DeFiNewsletter Actualització del producte Newsletter Subscriviu-vos al nostre butlletí per obtenir les últimes novetats d’Ethereum, solucions empresarials, recursos per a desenvolupadors i molt més.