จดหมายข่าว # 5: ความคิดเกี่ยวกับ DeFi Security

บล็อก 1NewsDevelopersEnterpriseBlockchain ExplainedEvents and ConferencesPressจดหมายข่าว

สมัครรับจดหมายข่าวของเรา.

ที่อยู่อีเมล

เราเคารพความเป็นส่วนตัวของคุณ

หน้าแรก

จดหมายข่าว # 5: ความคิดเกี่ยวกับ DeFi Security

โดย Nicole Adarme 12 พฤษภาคม 2020 โพสต์เมื่อพฤษภาคม 12, 2020

คุณลักษณะ codefi


ว่าไงเพื่อน,

หวังว่าอีเมลนี้จะช่วยคุณได้ดีและปรับเปลี่ยน (หรือปรับเปลี่ยน) ให้เข้ากับรูปแบบพฤติกรรมใหม่ของเรา หากคุณติดตามการประชุมสุดยอดเสมือนจริงครั้งแรกในสัปดาห์ที่ผ่านมาคุณได้ยินมากมายเกี่ยวกับความสำคัญของ DeFi บน Ethereum และอนาคตของเครือข่ายด้วยการเปิดตัว Ethereum 2.0 ดังนั้นสำหรับจดหมายข่าวของเดือนนี้เราคิดว่าจะนำข้อมูลอัปเดตเกี่ยวกับทั้งสองอย่างมาให้คุณ.

คำถามเกี่ยวกับความปลอดภัยในแอปพลิเคชัน DeFi

ปี 2020 ได้พิสูจน์แล้วว่าเป็นปีที่สำคัญสำหรับระบบนิเวศ Ethereum DeFi นอกเหนือจากการเฉลิมฉลองกว่า 1 พันล้านเหรียญสหรัฐที่ถูกล็อคใน DeFi และเหตุการณ์สำคัญของแพลตฟอร์มแล้วอุตสาหกรรมนี้ยังต้องเผชิญกับเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นเล็กน้อยและครั้งใหญ่ในแอปพลิเคชัน DeFi ทั้งใหม่และที่เป็นที่ยอมรับ เหตุการณ์ bZx และ Maker ของเดือนกุมภาพันธ์และมีนาคมได้รับการคุ้มครองอย่างดี แต่เราได้ดึงข้อมูลและข้อมูลเชิงลึกบางส่วนเกี่ยวกับเหตุการณ์ล่าสุดบนโปรโตคอล Uniswap และ Lendf.me โดยเฉพาะเกี่ยวกับการประนีประนอมของมาตรฐานโทเค็น ERC-777 ที่อนุญาตให้แฮกเกอร์ ระบายคริปโตมูลค่า 25 ล้านดอลลาร์ในวันที่ 18 เมษายน & วันที่ 19. 

โทเค็น imBTC เป็นโทเค็น ERC-777 ที่ออกโดย โทเค็นลอน, DEX ที่ทำงานบนโปรโตคอล 0x ทั้งในเหตุการณ์ Uniswap และ Lendf.me แฮ็กเกอร์ได้ใช้ประโยชน์จากช่องโหว่การย้อนกลับซึ่งเกิดจากความไม่ลงรอยกันระหว่างมาตรฐานโทเค็น ERC-777 และโปรโตคอล DeFi กล่าวโดยกว้างช่องโหว่การกลับใจอนุญาตให้แฮ็กเกอร์สามารถใช้เงินฝากเริ่มต้นของ imBTC ซ้ำได้อย่างมีประสิทธิภาพโดยให้เงินทุนที่ไม่ จำกัด เพื่อออกกฎหมายการค้าหรือการกู้ยืม.

Uniswap:

การโจมตีเกิดขึ้นได้เนื่องจาก Uniswap V1 ไม่มีมาตรการในการป้องกันการโจมตีกลับประเภทนี้เมื่อโต้ตอบกับมาตรฐาน ERC-777 โดยรวมแล้วแฮ็กเกอร์ทำเงินได้ประมาณ $ 300k USD ใน imBTC และ ETH (~ $ 141k ETH + ~ $ 160k imBTC). 

ที่น่าสนใจคือเวกเตอร์การโจมตีนี้ไม่เป็นที่รู้จักของ Uniswap หรือชุมชนคริปโตโดยรวม เกือบหนึ่งปีก่อนการโจมตี Uniswap ConsenSys Diligence – บริการตรวจสอบความปลอดภัยที่นำเสนอโดย ConsenSys – ระบุและเผยแพร่ เวกเตอร์การโจมตี reentrancy ERC-777 Uniswap มีแผนที่จะจัดการกับเวกเตอร์การโจมตีดังที่ระบุไว้ในไฟล์ 23 มีนาคมบล็อกโพสต์ เกี่ยวกับคุณสมบัติของ Uniswap V2.

แผนภูมิ 1.png

Lendf.me

เหตุการณ์ Lendf.me ใช้ประโยชน์จากช่องโหว่การกลับใจเดิมที่เกิดขึ้นจากความเข้ากันได้ที่ไม่สมบูรณ์ระหว่างโปรโตคอลการให้ยืมและมาตรฐานโทเค็น ERC-777 แต่ประสบความสำเร็จในระดับที่กว้างขวางกว่า เงินเกือบ 100% ของ Lendf.me ซึ่งมีมูลค่ามากกว่า 24 ล้านเหรียญสหรัฐถูกระบายออกไปในระหว่างการโจมตีเมื่อวันที่ 19 เมษายน.

ไม่เหมือนกับในเหตุการณ์ Uniswap เงินที่ถูกขโมยไม่ได้ จำกัด อยู่แค่ ETH และ imBTC แม้ว่าเงินที่ถูกขโมยส่วนใหญ่จะเป็น WETH ($ 10.8m) แต่ USDT และ HBTC ก็เพิ่มขึ้นอีก 9.7 ล้านดอลลาร์ตามด้วยโทเค็นอื่น ๆ อย่างน้อย 16 โทเค็น กราฟด้านล่างแสดงการกระจายสินทรัพย์ของกองทุนที่ถูกบุกรุกและปริมาณโทเค็นรายเดือนบน Lendf.me ซึ่งนำไปสู่การโจมตีในวันที่ 19 เมษายน.

แผนภูมิ 2.png

แผนภูมิ 3.png

ในเหตุการณ์ที่ไม่คาดคิดแฮ็กเกอร์ Lendf.me ได้คืนเงินที่ถูกขโมยไปยังโปรโตคอลโดยมีรายงานว่า เปิดเผยที่อยู่ IP โดยไม่ได้ตั้งใจ ระหว่างการโจมตี แผนภาพ Sankey ด้านล่างแสดงการไหลเวียนของเงินทุนหลังจากการแฮ็ก เงินจะออกจากสัญญา Lendf.me (สีเขียว) ผ่านสัญญาตัวจัดการ (สีเทา) และไปยังที่อยู่ของแฮ็กเกอร์ (สีดำ) หลังจากเปิดเผย IP แฮ็กเกอร์ได้โอนเงินกลับไปยังที่อยู่ผู้ดูแลระบบ Lendf.me ซึ่งจะโอนเงินไปยังที่อยู่สำหรับการกู้คืน (ทั้งที่เป็นสีม่วง) ด้านขวาสุดของกราฟซึ่งเป็นจุดที่แผนภาพไหลออกไปสู่กระแสของกองทุนแต่ละกองทุนนับเป็นช่วงเวลาที่ Lendf.me คืนเงิน สำหรับผู้ใช้แต่ละราย.

แผนภูมิ 4.png

สิ่งนี้หมายความว่าอย่างไรสำหรับ DeFi?

แม้จะมีเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นมากมายในโปรโตคอล DeFi แต่อุตสาหกรรมก็ยังคงมีอยู่อย่างท่วมท้น บวก เกี่ยวกับโอกาสของ DeFi และโมเมนตัมที่นำมาสู่ Ethereum สถิติ Objective DeFi สนับสนุนความเชื่อมั่นในเชิงบวก เพื่อตอบสนองต่อเหตุการณ์ด้านความปลอดภัยในปีนี้และแรงกดดันทางการตลาดที่เริ่มต้นในเดือนมีนาคม ETH ที่ถูกล็อกได้ลดลงจากระดับสูงสุดตลอดกาลในเดือนกุมภาพันธ์ อย่างไรก็ตามระดับได้ลดลงเหลือเพียงตัวเลขในเดือนธันวาคม 2019 เท่านั้นสถิติเหล่านี้แม้จะเผชิญกับเหตุการณ์ด้านความปลอดภัยที่มีรายละเอียดสูงแสดงให้เห็นว่าระบบนิเวศของ DeFi โดยรวมได้ผ่านจุดที่ ‘ไม่กลับมา’ ในบางจุดแม้ว่าความเชื่อมั่นในแต่ละโปรโตคอลจะได้รับผลกระทบก็ตาม ความมุ่งมั่นโดยรวมต่อกระบวนทัศน์ใหม่ของการเงินแบบกระจายอำนาจยังคงแข็งแกร่ง.

ในช่วงเหตุการณ์ด้านความปลอดภัยในปี 2020 ชุมชน Ethereum ได้ให้ความสำคัญกับวิธีการป้องกันและตอบสนองต่อเหตุการณ์ในอนาคต โดยทั่วไปแล้วมีการนำเสนอคุณค่าของการแฮ็กทั้งหมดที่เกิดขึ้นจากเทคโนโลยีแบบเปิด โดยไม่จำเป็นต้องได้รับอนุญาตหรือการเข้าถึงโดยเฉพาะผู้ตรวจสอบความปลอดภัยบุคคลที่สามและนักพัฒนา Dapp สามารถวิเคราะห์เหตุการณ์ได้อย่างอิสระเตือนเกี่ยวกับจุดอ่อนอื่น ๆ และเสนอการแก้ไขสำหรับแอปพลิเคชัน DeFi ในอนาคต เหตุการณ์เหล่านี้เผยให้เห็นจรรยาบรรณในการทำงานร่วมกันของซอฟต์แวร์แบบเปิดและเป็นเวทีสำหรับระบบนิเวศที่ปลอดภัยยิ่งขึ้น โดยเฉพาะอย่างยิ่ง:

เครื่องมือตรวจสอบ DeFi: ด้วยการใช้ประโยชน์จากการเปิดกว้างของ Ethereum blockchain โฮสต์ของเครื่องมือตรวจสอบที่เกี่ยวข้องกับ DeFi พร้อมให้บริการแก่สาธารณชนเพื่อโต้ตอบกับแอปพลิเคชันทางการเงินได้อย่างมั่นใจยิ่งขึ้น. Codefi ตรวจสอบ เป็นเครื่องมือโอเพ่นซอร์สเพื่อรวบรวมข้อมูลด้านความปลอดภัยที่สำคัญเกี่ยวกับโปรโตคอล DeFi รวมถึงการตรวจสอบสาธารณะรายละเอียดคีย์ของผู้ดูแลระบบการพึ่งพา oracle และกิจกรรมบนเครือข่าย Codefi’s คะแนน DeFi เป็นค่าความเสี่ยงของแพลตฟอร์มที่สามารถเปรียบเทียบระหว่างโปรโตคอลเพื่อแจ้งการตัดสินใจของผู้ใช้ได้ดีขึ้นเมื่อเลือกระหว่างแอปพลิเคชัน DeFi.

ความโปร่งใสด้านความปลอดภัย: Dapps เปิดกว้างมากขึ้นเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ระบุ Uniswap รับทราบปัญหา ERC-777 ในไฟล์ บล็อกโพสต์มีนาคม 2020. ผู้พัฒนาจากโปรโตคอลการซื้อขาย Hegic เผยแพร่ “ชันสูตรพลิกศพ” แบบเปิด เกี่ยวกับข้อบกพร่องในรหัสของเธอที่ทำให้เงินบางส่วนไม่สามารถเข้าถึงได้ การวนรอบโปรโตคอลการแลกเปลี่ยนระบุช่องโหว่ส่วนหน้าหยุดการแลกเปลี่ยนชั่วคราว, ประกาศต่อชุมชน, และทำงานเพื่อแก้ไขปัญหา ความโปร่งใสประเภทนี้มีความสำคัญอย่างยิ่งต่อการสร้างความไว้วางใจระหว่างผู้ใช้ใหม่และผู้ใช้ที่มีอยู่และเพื่อขยายเครือข่ายโปรโตคอล DeFi ที่ปลอดภัยยิ่งขึ้น.

ประกันภัย DeFi: การประกันภัยที่ใช้บล็อกเชนมีมาระยะหนึ่งแล้ว แต่ในช่วงไม่กี่เดือนที่ผ่านมาได้รับความสนใจอย่างมาก. Nexus Mutual – ผู้เชี่ยวชาญด้านการประกันภัย blockchain – และอีกไม่นาน Opyn ได้กลายเป็นผู้เล่นอันดับต้น ๆ ในอุตสาหกรรม DeFi ที่อยู่ติดกันนี้ ช่องโหว่ด้านความปลอดภัยมีแนวโน้มที่จะมีอยู่ในทุกสาขาเทคโนโลยีไม่ว่าจะเกิดขึ้นใหม่หรือเกิดขึ้น ยิ่งมีมาตรการป้องกันควบคู่ไปกับเทคโนโลยีเหล่านี้มากเท่าไหร่เส้นทางสู่การนำไปใช้อย่างแพร่หลายก็จะง่ายขึ้นเท่านั้น.

Quick Codefi ฮิต

การสัมมนาผ่านเว็บที่จะเกิดขึ้น

CBDCs และ Stablecoins

14 พฤษภาคม 2020

ลงทะเบียน

cbdc.jpg

State + of + Staking + Webinar + Featured + (1) .png

การสัมมนาผ่านเว็บที่จะเกิดขึ้น

สถานะของการเดิมพัน

19 พฤษภาคม 2020

ลงทะเบียน

ประกาศ

  • ใหม่สำหรับจดหมายข่าวและ Codefi? เช็คเอาท์ วิดีโออธิบายเกี่ยวกับ ConsenSys Codefi.

  • ข้อเสนอแนะ ConsenSys Codefi: TLDR; เราต้องการไป รู้จักคุณดีขึ้นและจะใช้เวลา 3 นาที.

  • Codefi Data API: ด้วย API ข้อมูลนักพัฒนานักลงทุนธุรกิจและผู้ที่ชื่นชอบ DeFi สามารถดึงข้อมูลความเสี่ยงในรูปแบบที่ง่ายต่อการผสานรวมที่สนับสนุนโครงการของพวกเขาได้ดีขึ้น ติดต่อเพื่อเริ่มต้นกับ API. 

  • อัตรา DeFi: CodeFi เปิดตัว DeFi Lending Risk-Management Tool ใหม่: ตรวจสอบ. Codefi Inspect เปิดตัวเมื่อเดือนที่แล้วเป็นโครงการโอเพ่นซอร์สที่อุทิศให้กับความโปร่งใสของโปรโตคอลใน DeFi ติดตามการตรวจสอบสาธารณะทั้งหมดรายละเอียดคีย์ของผู้ดูแลระบบการพึ่งพา Oracle และกิจกรรมบนเครือข่าย. 

  • มองไปข้างหน้าเพื่อ Ethereum 2.0 หรือไม่? Codefi Activate ได้สร้างเครื่องคำนวณ Eth2 เพื่อช่วยให้ผู้ถือ ETH เริ่มพิจารณาได้ว่าพวกเขาจะได้รับรางวัลประเภทใดจากการเดิมพันบนเครือข่าย. คำนวณผลตอบแทน ETH ที่เป็นไปได้ของคุณ.

  • รายงานของ Codefi Asset เกี่ยวกับการใช้ blockchain เพื่อเพิ่มศักยภาพให้กับระบบการศึกษาของเทศบาลเมื่อพวกเขาเปลี่ยนไปสู่การเรียนรู้แบบดิจิทัลในช่วงเวลา COVID-19. 

  • รายงานล่าสุดโดย ConsenSys Codefi ตรวจสอบความชอบความคาดหวังและจุดเจ็บปวดของผู้ถือ ETH ในขณะที่พวกเขามองไปข้างหน้าเพื่อเปิดตัว Ethereum 2.0 และโอกาสในการเดิมพัน ETH อ่านรายงาน Eth2 Staking Ecosystem.

Codefi Spotlight:

รายงาน Ethereum 2.0 Staking Ecosystem

การเปิดตัว Ethereum 2.0 (Eth2) ในปี 2020 ถือเป็นความสำเร็จของเครือข่ายที่สำคัญและคาดหวังมานาน การเปิดตัวเครือข่ายที่ประสบความสำเร็จจะต้องให้ผู้ถือ ETH เลือกที่จะฝาก ETH ของตนเป็นเดิมพันในเครือข่าย Proof of Stake ใหม่ เพื่อให้เข้าใจถึงแรงจูงใจความชอบและพฤติกรรมของผู้ถือ ETH ที่วางแผน (หรือไม่) ที่จะเดิมพัน Ethereum 2.0 Codefi Activate ได้สำรวจผู้ถือ ETH ประมาณ 300 ราย ข้อสรุปเหล่านี้ถูกรวบรวมไว้ในรายงาน Ethereum 2.0 Staking Ecosystem Report. 

ในบรรดาผู้ตอบแบบสอบถามทั้งหมดกว่า 65% วางแผนที่จะเดิมพัน Ethereum 2.0 มีเพียง 17% เท่านั้นที่ยังไม่ตัดสินใจ (14%) หรือตัดสินใจที่จะไม่เดิมพัน (~ 3%) ในบรรดาผู้ตอบแบบสอบถามที่วางแผนจะเดิมพันพวกเขาถูกแบ่งออกเป็นสัดส่วนประมาณ 50/50 ระหว่างการวางแผนที่จะรันโหนดตัวตรวจสอบความถูกต้องของตนเองและการวางแผนที่จะใช้บริการปักหลักของบุคคลที่สาม อย่างไรก็ตามทั้งสองกลุ่มวางแผนที่จะถือหุ้นประมาณ 50% ของ ETH ที่เป็นเจ้าของ.

แผนภูมิ 5.png

แรงจูงใจสำคัญในการมีส่วนร่วมของผู้ถือ ETH ในเครือข่าย Ethereum 2.0 คือศักยภาพในการบล็อกรางวัลในรูปแบบของ ETH เมื่อถามว่า% ผลตอบแทนใดที่จะตรวจสอบความถูกต้องของการเข้าร่วมใน Eth2 ผู้ตอบแบบสอบถามที่วางแผนจะเรียกใช้ Validator ของตนเองจะต้องได้รับผลตอบแทนเฉลี่ย 5.8% (ของ ETH ที่เดิมพัน) อย่างไรก็ตามผู้ที่วางแผนจะใช้บริการของบุคคลที่สามต้องการผลตอบแทนที่สูงขึ้นเล็กน้อยโดยเฉลี่ย 7.6% ความคลาดเคลื่อน 2% นี้อาจมาจากผู้ที่วางแผนที่จะใช้การแฟของบุคคลที่สามโดยคาดหวังว่าบริการเหล่านั้นจะเรียกเก็บค่าธรรมเนียมสำหรับการใช้งาน ที่น่าสนใจคือคนที่ยังไม่แน่ใจว่าจะเดิมพันได้หรือไม่นั้นจะต้องการรางวัลที่สูงกว่านี้เพื่อโน้มน้าวให้พวกเขาเริ่มเดิมพัน: 9.4% ด้วยรางวัล Ethereum 2.0 เริ่มต้นนั้น สามารถขยายได้ถึง 20%, มีความเป็นไปได้มากที่จะจับผู้ถือ ETH ที่ยังไม่ตัดสินใจเหล่านี้.

ส่วนที่เหลือของ Codefi Activate Ethereum 2.0 Staking Report ให้รายละเอียดเกี่ยวกับการตั้งค่าของกลุ่มผู้ถือ ETH เหล่านี้และระบุประเด็นสำคัญที่ผู้ให้บริการ Eth2 และผู้ให้บริการลูกค้าควรพิจารณาเมื่อนำเสนอผลิตภัณฑ์ให้กับผู้บริโภค สิ่งที่น่าสังเกตเป็นพิเศษคือความต้องการอย่างต่อเนื่องสำหรับการศึกษาเกี่ยวกับกลไกของ Ethereum 2.0 ความปลอดภัยและแรงจูงใจทางเศรษฐกิจ ผู้ตอบแบบสอบถามน้อยกว่า 35% ระบุว่ามีความเข้าใจเศรษฐศาสตร์ Ethereum 2.0 อย่าง “ดี”. 

ดาวน์โหลดรายงาน Eth 2.0 Staking Ecosystem

เพื่อความสนใจในการส่งเสริมการศึกษาและความเข้าใจ ConsenSys ได้เปิดตัวฐานความรู้ Ethereum 2.0 เพื่อให้ข้อมูล Ethereum 2.0 ที่ทันสมัยที่สุดอย่างต่อเนื่องสำหรับผู้ชมทั้งทางเทคนิคและทางเทคนิค.

เยี่ยมชมฐานความรู้ Eth 2.0

ข้อสังเกตสุดท้าย

ขอขอบคุณที่ติดตามจดหมายข่าวนี้ เราหวังว่าคุณจะมีโอกาสเข้าร่วมการประชุมสุดยอดเสมือนจริงครั้งแรกในสัปดาห์ที่ผ่านมานี้ หากไม่เป็นเช่นนั้น (หรือหากคุณต้องการดูรายการโปรดของคุณอีกครั้ง) โปรดดูสุนทรพจน์และการอภิปรายที่อัปโหลดจากทั่วทั้ง Ethereum และระบบนิเวศบล็อกเชนรวมถึง Codefi บน YouTube ที่ไม่มีตัวตน. ในระหว่างนี้ติดตามเราได้ที่ ทวิตเตอร์, เรียนรู้เพิ่มเติมบนเว็บไซต์ของเราและแจ้งให้เราทราบความคิดของคุณ ไม่ว่าคุณสนใจที่จะร่วมงานกับเราเพื่อเราหรือเพียงแค่ต้องการทักทายโปรดอย่าลังเลที่จะติดต่อเรา.

ส่งต่อข้อความนี้? ลงชื่อ สำหรับการอัปเดตรายเดือน.

ถึงครั้งต่อไป, 

ทีม ConsenSys Codefi

DeFiNewsletterProduct UpdateNewsletter สมัครรับจดหมายข่าวของเราเพื่อรับข่าวสารล่าสุดของ Ethereum โซลูชันระดับองค์กรทรัพยากรสำหรับนักพัฒนาและอื่น ๆ อีกมากมาย

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me