ความเสี่ยงด้านความปลอดภัยใน Ethereum DeFi

บล็อก 1NewsDevelopersEnterpriseBlockchain ExplainedEvents and ConferencesPressจดหมายข่าว

สมัครรับจดหมายข่าวของเรา.

ที่อยู่อีเมล

เราเคารพความเป็นส่วนตัวของคุณ

หน้าแรก

ความเสี่ยงด้านความปลอดภัยใน Ethereum DeFi

โดย Everett Muzzy 19 พฤษภาคม 2020 โพสต์เมื่อ 19 พฤษภาคม 2020

9

แนวทางในการติดตามและป้องกันความเสี่ยง

ปี 2020 ได้พิสูจน์แล้วว่าเป็นปีที่สำคัญสำหรับระบบนิเวศ Ethereum DeFi นอกเหนือจากการเฉลิมฉลองกว่า 1 พันล้านเหรียญสหรัฐที่ถูกล็อคใน DeFi และเหตุการณ์สำคัญของแพลตฟอร์มที่สำคัญอุตสาหกรรมนี้ยังต้องเผชิญกับเหตุการณ์ด้านความปลอดภัยเล็กน้อยและครั้งใหญ่ที่เกิดขึ้นบ่อยครั้งในแอปพลิเคชัน DeFi ทั้งใหม่และที่เป็นที่ยอมรับ.

5 เหตุการณ์ความปลอดภัย DeFi ที่เกิดขึ้นในเดือนเมษายน: 

  • Uniswap: เมื่อวันที่ 18 มีการขโมยเงิน 340k USD ผ่านเวกเตอร์การโจมตีแบบ reentrancy

  • Lendf.me: เมื่อวันที่ 19 มีการขโมยเงิน 25 ล้านเหรียญสหรัฐจากเวกเตอร์การโจมตีแบบถอยกลับ เงินจะออกใหม่หลังจากการเจรจาของทีมกับแฮ็กเกอร์.

  • Curve: แพลตฟอร์มแลกเปลี่ยน stablecoin เปิดเผยว่าพวกเขาพบและแก้ไขข้อบกพร่องในสัญญาสำรอง sUSD.

  • PegNet: แพลตฟอร์ม DeFi ข้ามสายโซ่ PegNet ได้รับการโจมตี 51% เมื่อคนงาน 4 คนในเครือข่ายควบคุมแฮชเรท 70%.

  • Hegic: สภาพคล่อง 28k USD ถูกขังอยู่ในสัญญาออปชั่นที่หมดอายุเนื่องจากข้อผิดพลาดในสัญญาซึ่งทีมงานสัญญาว่าจะชดเชยผู้ใช้ที่ได้รับผลกระทบด้วยเงินทุนของตนเอง.


Uniswap และ Lendf.me – The Reentrancy Attack บน ERC-777

เหตุการณ์ bZx และ Maker ของเดือนกุมภาพันธ์และมีนาคมได้รับการคุ้มครองอย่างดี แต่เราได้ดึงข้อมูลและข้อมูลเชิงลึกบางส่วนเกี่ยวกับเหตุการณ์ล่าสุดบนโปรโตคอล Uniswap และ Lendf.me โดยเฉพาะเกี่ยวกับการประนีประนอมของมาตรฐานโทเค็น ERC-777 ที่อนุญาตให้แฮกเกอร์ ระบายคริปโตมูลค่า 25 ล้านดอลลาร์ในวันที่ 18 เมษายน & วันที่ 19.

โทเค็น imBTC เป็นโทเค็น ERC-777 ที่ออกโดย โทเค็นลอน, DEX ที่ทำงานบนโปรโตคอล 0x ทั้งในเหตุการณ์ Uniswap และ Lendf.me แฮ็กเกอร์ได้ใช้ประโยชน์จากช่องโหว่การย้อนกลับซึ่งเกิดจากความไม่ลงรอยกันระหว่างมาตรฐานโทเค็น ERC-777 และโปรโตคอล DeFi กล่าวโดยกว้างช่องโหว่การกลับใจอนุญาตให้แฮ็กเกอร์สามารถใช้เงินฝากเริ่มต้นของ imBTC ซ้ำได้อย่างมีประสิทธิภาพโดยให้เงินทุนที่ไม่ จำกัด เพื่อออกกฎหมายการค้าหรือการกู้ยืม.

Uniswap

การโจมตีเกิดขึ้นได้เนื่องจาก Uniswap V1 ไม่มีมาตรการในการป้องกันการโจมตีกลับประเภทนี้เมื่อโต้ตอบกับมาตรฐาน ERC-777 โดยรวมแล้วแฮ็กเกอร์ทำเงินได้ประมาณ $ 300k USD ใน imBTC และ ETH (~ $ 141k ETH + ~ $ 160k imBTC).

ที่น่าสนใจคือเวกเตอร์การโจมตีนี้ไม่เป็นที่รู้จักของ Uniswap หรือชุมชนคริปโตโดยรวม เกือบหนึ่งปีก่อนการโจมตี Uniswap ConsenSys Diligence – บริการตรวจสอบความปลอดภัยที่นำเสนอโดย ConsenSys – ระบุและเผยแพร่ เวกเตอร์การโจมตี reentrancy ERC-777 Uniswap มีแผนที่จะจัดการกับเวกเตอร์การโจมตีดังที่ระบุไว้ในไฟล์ 23 มีนาคมบล็อกโพสต์ เกี่ยวกับคุณสมบัติของ Uniswap V2.

รูปที่ 1. Uniswap imBTC Token Contract Balance

รูปที่ 1. Uniswap imBTC Token Contract Balance

Lendf.me

เหตุการณ์ Lendf.me ใช้ประโยชน์จากช่องโหว่การกลับใจเดิมที่เกิดขึ้นจากความเข้ากันได้ที่ไม่สมบูรณ์ระหว่างโปรโตคอลการให้ยืมและมาตรฐานโทเค็น ERC-777 แต่ประสบความสำเร็จในระดับที่กว้างขวางกว่า เงินเกือบ 100% ของ Lendf.me ซึ่งมีมูลค่ามากกว่า 24 ล้านเหรียญสหรัฐถูกระบายออกไปในระหว่างการโจมตีเมื่อวันที่ 19 เมษายน.

ไม่เหมือนกับในเหตุการณ์ Uniswap เงินที่ถูกขโมยไม่ได้ จำกัด อยู่แค่ ETH และ imBTC แม้ว่าเงินที่ถูกขโมยส่วนใหญ่จะเป็น WETH ($ 10.8m) แต่ USDT และ HBTC ก็เพิ่มขึ้นอีก 9.7 ล้านดอลลาร์ตามด้วยโทเค็นอื่น ๆ อย่างน้อย 16 โทเค็น กราฟด้านล่างแสดงการกระจายสินทรัพย์ของกองทุนที่ถูกบุกรุกและปริมาณโทเค็นรายเดือนบน Lendf.me ซึ่งนำไปสู่การโจมตีในวันที่ 19 เมษายน.

รูปที่ 2. การกระจายเงินที่สูญหายตามประเภทโทเค็น

รูปที่ 2. การกระจายเงินที่สูญหายตามประเภทโทเค็น

รูปที่ 3 ยอดคงเหลือตามสัญญา Lendf.Me

รูปที่ 3 ยอดคงเหลือตามสัญญา Lendf.Me

ในเหตุการณ์ที่ไม่คาดคิดแฮ็กเกอร์ Lendf.me ได้คืนเงินที่ถูกขโมยไปยังโปรโตคอลโดยมีรายงานว่า เปิดเผยที่อยู่ IP โดยไม่ได้ตั้งใจ ระหว่างการโจมตี แผนภาพ Sankey ด้านล่างแสดงการไหลเวียนของเงินทุนหลังจากการแฮ็ก เงินจะออกจากสัญญา Lendf.me (สีเขียว) ผ่านสัญญาตัวจัดการ (สีเทา) และไปยังที่อยู่ของแฮ็กเกอร์ (สีดำ) หลังจากเปิดเผย IP แฮ็กเกอร์ได้โอนเงินกลับไปยังที่อยู่ผู้ดูแลระบบ Lendf.me ซึ่งจะโอนเงินไปยังที่อยู่สำหรับการกู้คืน (ทั้งที่เป็นสีม่วง) ด้านขวาสุดของกราฟซึ่งเป็นจุดที่แผนภาพไหลออกไปสู่กระแสของกองทุนแต่ละกองทุนนับเป็นช่วงเวลาที่ Lendf.me คืนเงิน สำหรับผู้ใช้แต่ละราย.

รูปที่ 4 การไหลของเงินทุนตลอดเหตุการณ์ Lendf.Me

รูปที่ 4 การไหลของเงินทุนตลอดเหตุการณ์ Lendf.Me

มันน่าทึ่งมากที่ได้เห็นว่าแอปพลิเคชัน DeFi เชื่อมโยงกันอย่างไรสำหรับวงจรทางการเงินที่สมบูรณ์และการเปลี่ยนแปลงของการใช้ประโยชน์การหากำไรการให้กู้ยืมและการซื้อขายมีผลอย่างไร การทำงานร่วมกันระหว่าง DEX, Loans (เช่น Flashloans) และ Oracles เปิดโอกาสให้มีการพัฒนาองค์ประกอบทางการเงินบน Ethereum มากขึ้นรวมถึงลดอุปสรรคสำหรับผู้เข้าร่วมกลุ่มเล็ก ๆ ในฐานะโลกการเงินที่ครอบคลุม.

เราจะทำอย่างไรเพื่อปกป้องทรัพย์สิน DeFi?

การตรวจสอบสัญญาอัจฉริยะ

บริการตรวจสอบสามารถระบุช่องโหว่ของสัญญาที่อาจเกิดขึ้นผ่านการทดสอบอย่างเข้มงวดและการแฮ็กหมวกขาวก่อนที่จะมีการเปิดโปรโตคอลหรือฟีเจอร์ แม้ว่าเครื่องมืออัตโนมัติของบุคคลที่สามจะสามารถระบุชุดของช่องโหว่ทั่วไปได้ แต่เครื่องมือเหล่านี้จะมีประสิทธิภาพสูงสุดเมื่อรวมกับบริการตรวจสอบภายใน.

การโจมตี Uniswap ในเดือนเมษายนถูกคาดการณ์โดย ConsenSys Diligence ของบริการตรวจสอบ ยิ่งไปกว่านั้นเหตุการณ์ในปี 2020 ดูเหมือนจะจุดประกายยุคใหม่ของความโปร่งใสในหมู่นักพัฒนา DeFi เกี่ยวกับปัญหาด้านความปลอดภัย ผู้พัฒนาจากโปรโตคอลการซื้อขาย Hegic เผยแพร่ “ชันสูตรพลิกศพ” แบบเปิด เกี่ยวกับข้อบกพร่องในรหัสของเธอที่ทำให้เงินบางส่วนไม่สามารถเข้าถึงได้ การวนรอบโปรโตคอลการแลกเปลี่ยนระบุช่องโหว่ส่วนหน้าหยุดการแลกเปลี่ยนชั่วคราว, ประกาศต่อชุมชน, และทำงานเพื่อแก้ไขปัญหา ความโปร่งใสประเภทนี้มีความสำคัญอย่างยิ่งต่อการสร้างความไว้วางใจระหว่างผู้ใช้ใหม่และผู้ใช้ที่มีอยู่และเพื่อขยายเครือข่ายโปรโตคอล DeFi ที่ปลอดภัยยิ่งขึ้น.

เนื่องจากโปรโตคอล DeFi มีจำนวนมากขึ้นความซับซ้อนและการเชื่อมต่อระหว่างกันจึงมีแนวโน้มที่จะเกิดช่องโหว่ด้านความปลอดภัยและการประนีประนอมมากขึ้น แม้ว่าจะเป็นเรื่องน่าเสียใจ แต่เหตุการณ์เหล่านี้มีความสำคัญอย่างยิ่งต่อการพัฒนาเทคโนโลยีที่เกิดขึ้นใหม่อย่างปลอดภัย ยิ่งเราสามารถใช้บริการและเครื่องมือที่มีให้เพื่อระบุและป้องกันเวกเตอร์การโจมตีเหล่านี้ได้มากเท่าไหร่ผู้คนก็จะโต้ตอบกับระบบนิเวศทางการเงินแบบเปิดที่กำลังเกิดขึ้นได้อย่างมั่นใจมากขึ้นเท่านั้น.

เครื่องมือตรวจสอบและจัดอันดับ

ด้วยการใช้ประโยชน์จากการเปิดกว้างของ Ethereum blockchain โฮสต์ของเครื่องมือตรวจสอบที่เกี่ยวข้องกับ DeFi พร้อมให้บริการแก่สาธารณชนเพื่อโต้ตอบกับแอปพลิเคชันทางการเงินได้อย่างมั่นใจยิ่งขึ้น. Codefi ตรวจสอบ เป็นเครื่องมือโอเพ่นซอร์สเพื่อรวบรวมข้อมูลด้านความปลอดภัยที่สำคัญเกี่ยวกับโปรโตคอล DeFi รวมถึงการตรวจสอบสาธารณะรายละเอียดคีย์ของผู้ดูแลระบบการพึ่งพา oracle และกิจกรรมบนเครือข่าย Codefi’s คะแนน DeFi เป็นค่าความเสี่ยงของแพลตฟอร์มที่สามารถเปรียบเทียบระหว่างโปรโตคอลเพื่อแจ้งการตัดสินใจของผู้ใช้ได้ดีขึ้นเมื่อเลือกระหว่างแอปพลิเคชัน DeFi.

การตรวจสอบความสมบูรณ์ของเครือข่าย: สำหรับผู้ใช้ส่วนบุคคล

ในแพลตฟอร์มการให้กู้ยืมเงินฝากของผู้ใช้คือ ที่เสี่ยงต่อการถูกเลิกกิจการ เมื่ออัตราส่วนหลักประกันลดลงต่ำกว่าเกณฑ์ที่กำหนดเนื่องจากความผันผวนของราคา รูปที่ 5 แสดงจำนวนเงินที่ถูก “กัด” บนแพลตฟอร์มของ Maker ในเดือนพฤศจิกายน 2018 และมีนาคม 2020 หลักประกันกว่า $ 17 ล้าน USD ถูกชำระบัญชีใน Maker เมื่อราคา ETH แตะระดับต่ำสุดในอดีต (~ $ 110 / ETH ในเดือนพฤศจิกายน 2018 และ ~ $ 105 ในเดือนมีนาคม 2020).

ด้วยเครื่องมือตรวจสอบที่เหมาะสมผู้ใช้สามารถป้องกันตนเองได้ดีขึ้นจากการเป็นผู้รับการชำระบัญชีอัตโนมัติบนแพลตฟอร์มการให้กู้ยืมโดยไม่เต็มใจ สำหรับผลิตภัณฑ์ที่ให้ยืมระดับหลักประกันที่กำหนด (มูลค่าของทรัพย์สินเงินฝากมูลค่าการหารของสินทรัพย์ที่ยืมโดยวัดเป็น USD ในกรณีส่วนใหญ่) กำหนดแนวความปลอดภัยสำหรับเจ้าของห้องนิรภัย เมื่อมูลค่าหลักประกันลดลงอัตราส่วนจะลดลงและห้องนิรภัยจะเปิดให้ชำระบัญชีได้ ผู้ใช้สามารถติดตามอัตราส่วนหลักประกันและตัดสินใจที่จะชำระคืนเงินกู้ยืมหรือเพิ่มเงินฝากเพื่อให้ห้องนิรภัยอยู่ในสภาพที่ปลอดภัยและอยู่นอกช่วงของการชำระบัญชี เครื่องมือตรวจสอบจะมีบทบาทสำคัญในการโต้ตอบอย่างมั่นใจของผู้ใช้กับโปรโตคอลการให้ยืมหากเครื่องมือเหล่านั้นให้ฟีดราคา oracle แบบเรียลไทม์ที่เชื่อถือได้สำหรับสินทรัพย์ต่างๆเพื่อแจ้งเตือนผู้ใช้ให้ดำเนินการล่วงหน้า.

รูปที่ 5. ปริมาณการชำระบัญชีของ Maker

รูปที่ 5. ปริมาณการชำระบัญชีของ Maker

อีกเมตริกหนึ่งที่ต้องตรวจสอบบนแพลตฟอร์มการให้กู้ยืมคืออัตราส่วนการใช้งานของกลุ่มสภาพคล่องของสินทรัพย์ อัตราส่วนการใช้ประโยชน์คำนวณโดยการหารจำนวนหนี้คงค้างทั้งหมดด้วยปริมาณอุปทานในกลุ่มสภาพคล่อง หากเงินทั้งหมดในพูลถูกยืมและไม่ได้ชำระคืนอัตราส่วนการใช้ประโยชน์จะสูงถึงเกือบ 100%.

อัตราส่วนการใช้งานที่เปลี่ยนแปลงไปอย่างมากสามารถสะท้อนถึงการเปลี่ยนแปลงของตลาด (เช่นการลดลงของราคา ETH ในเดือนมีนาคม) ซึ่งทำให้เกิดปฏิกิริยาของกลุ่มหรือตั้งค่าสถานะความเสี่ยงที่แฮกเกอร์จะระบายน้ำในสระ (เช่นกรณี Lendf.me) รูปที่ 6 แสดงอัตราส่วนการใช้สินทรัพย์% สำหรับ Maker, Lendf.me และอื่น ๆ ในเดือนมีนาคมเราสามารถเห็นอัตราส่วนการใช้งานบนแพลตฟอร์มส่วนใหญ่ที่พุ่งสูงขึ้นซึ่งน่าจะเป็นปฏิกิริยาที่ล่าช้าต่อเหตุการณ์ในตลาดในวันที่ 12 มีนาคม.

การลดลงของราคา ETH ทำให้มูลค่าอุปทานทั้งหมด (หากได้รับการสนับสนุนโดย ETH) ในโปรโตคอลเหล่านี้ส่วนใหญ่ลดลงซึ่งทำให้อัตราส่วนการใช้งานเพิ่มขึ้นอย่างกะทันหัน ในขณะเดียวกันเนื่องจากอัตราส่วนหลักประกันลดลงเนื่องจากราคา ETH หนี้คงค้างจำนวนมากจึงถูกล้างเนื่องจากการชำระบัญชี ดังนั้นเมื่อเวลาผ่านไปอัตราส่วนการใช้งานในหลายแพลตฟอร์มเหล่านี้จึงลดลง.

Lendf.me เป็นตัวอย่างของกราฟอัตราส่วนการใช้ประโยชน์สำหรับการแฮ็ก ในเดือนเมษายนเราพบว่าอัตราส่วนการใช้งานสำหรับโทเค็นทั้งหมดพุ่งสูงขึ้นถึง 100% แทบจะในทันทีซึ่งบ่งบอกถึงการใช้ประโยชน์จากช่องโหว่ของ ERC-777 ของแฮ็กเกอร์.

รูปที่ 6 อัตราการใช้สินทรัพย์ข้ามโปรโตคอล

รูปที่ 6 อัตราการใช้สินทรัพย์ข้ามโปรโตคอล

ในการแลกเปลี่ยนแบบกระจายอำนาจขนาดของ Liquidity Pool สามารถช่วยให้ผู้ใช้ตัดสินใจได้ว่าแพลตฟอร์มใดเป็นทุนสำรองที่มีความยืดหยุ่นมากกว่า DEXes เป็นประตูที่สำคัญที่สุดแห่งหนึ่งในห่วงโซ่การเก็งกำไรซึ่งพิสูจน์แล้วใน bZx กรณี. Uniswap เป็นหนึ่งใน DEX ที่มีการใช้งานมากที่สุดและกลุ่มสภาพคล่องเชื่อมต่อกับอินเทอร์เฟซโปรโตคอล DeFi / DEX จำนวนมาก รูปที่ 7 แสดงขนาดของกลุ่มสภาพคล่องบน Uniswap การลดลงอย่างรวดเร็วที่สุดเกิดขึ้นในวันที่ 18 กุมภาพันธ์ซึ่งเป็นจังหวะของการโจมตี bZx ครั้งที่สอง เมื่อวันที่ 18 กุมภาพันธ์กลุ่มสภาพคล่องของ Uniswap ลดลงเนื่องจากผู้หาประโยชน์ยืม WBTC จำนวนมากบน bZx ผ่านทางสำรอง KyberUniswap การลดลงมากที่สุดเป็นอันดับสองเกิดขึ้นในวันที่ 13 มีนาคมเมื่อตลาด crypto ลดลง เมื่อวันที่ 13 มีนาคมกลุ่มสภาพคล่องของ Uniswap ลดลงเนื่องจากผู้ถือ crypto กังวลเกี่ยวกับความผันผวนของตลาดและถอนสภาพคล่องจำนวนมากออกจากกลุ่ม Uniswap แม้จะมีขนาดสระว่ายน้ำสภาพคล่องลดลงอย่างมีนัยสำคัญ แต่ Uniswap ก็รับมือกับช่องโหว่และความผันผวนของตลาดในช่วงไม่กี่เดือนที่ผ่านมาได้เป็นอย่างดีซึ่งแสดงให้เห็นถึงความยืดหยุ่นของโปรโตคอล DeFi ที่มีกลุ่มสภาพคล่องที่ใหญ่ขึ้น.

รูปที่ 7 ขนาด Liquidity Pool บน Uniswap

รูปที่ 7 ขนาด Liquidity Pool บน Uniswap

เครื่องมือที่มีประโยชน์เช่น pools.fyi – สามารถช่วยผู้ใช้ DeFi ในการค้นหากลุ่มสภาพคล่องที่ใหญ่ที่สุดใน DEX หลัก ๆ.

การตรวจสอบความสมบูรณ์ของเครือข่าย: สำหรับแพลตฟอร์ม

การตรวจสอบความเสี่ยงสำหรับแพลตฟอร์ม DeFi เกี่ยวข้องกับการตรวจจับความผิดปกติ โดยทั่วไปพฤติกรรมที่ผิดปกติสามารถแบ่งได้ 5 วิธี ได้แก่ 1) การถ่ายโอนมูลค่าจำนวนมาก 2) ความถี่สูงของการทำธุรกรรมหรือการเรียกใช้ฟังก์ชัน (โดยเฉพาะอย่างยิ่งพฤติกรรมที่ไม่เปิดเผยต่อสาธารณะ) ภายในช่วงเวลาสั้น ๆ 3) การกระทำของจำนวนคงที่ , เกิดขึ้นทุกช่วงเวลาคงที่ (บอท) เดียวกันและ 4) การกระทำของ “ผู้ใช้ขั้นสูง” บนหลายแพลตฟอร์มและ / หรือการเป็นเจ้าของปริมาณเงินทุนที่สูงจนน่าตกใจ.

เมื่อตรวจพบพฤติกรรมที่ผิดปกติทีมโปรโตคอลสามารถใช้การควบคุมของผู้ดูแลระบบบางอย่างที่ออกแบบมาในสัญญาอัจฉริยะตัวอย่างเช่น

  1. เบรกเพื่อยุติฟังก์ชันบางส่วน / ทั้งหมดของสัญญาหรือโปรโตคอลอัจฉริยะ.

  2. เพิ่มเซสชันที่รอดำเนินการให้กับธุรกรรมจำนวนมาก.

  3. เปลี่ยนกลับธุรกรรมที่น่าสงสัย.

เพื่ออธิบายรายละเอียดเกี่ยวกับประเภทของพฤติกรรมที่ผิดปกติ:

  1. การโอนเงินมูลค่ากองทุนจำนวนมาก

การดำเนินการที่มีมูลค่ามหาศาลที่เกิดขึ้นบนเครือข่ายรวมถึงการกู้ยืมการฝากการซื้อขายและการชำระบัญชีเกินเกณฑ์ควรทำให้เกิดการแจ้งเตือนเนื่องจากอาจทำให้เสถียรภาพของพูลหรือแพลตฟอร์มสั่นคลอนหรือบ่งบอกถึงการเคลื่อนไหวที่น่าสงสัย (การแฮ็กเงินการฟอกเงินหรือ คำสั่งออกหลังจากการโจมตี) Stablecoins สามารถมีบทบาทบ่งชี้โดยเฉพาะอย่างยิ่งในการโอนมูลค่าจำนวนมากเนื่องจากมูลค่าของมันถูกเปรียบเทียบกับเงินคำสั่ง.

2. ความถี่ในการดำเนินการสูง (รวมถึงการทำธุรกรรมหรือการเรียกใช้ฟังก์ชันเฉพาะ) ภายในช่วงเวลาที่กำหนด

ความถี่สูงของการเรียกใช้ฟังก์ชันโดยเฉพาะอย่างยิ่งการเรียกใช้ฟังก์ชันที่ไม่ได้เปิดเผยภายนอกอาจเป็นสัญญาณของการโจมตีได้ Re-entrancy เป็นการโจมตีทั่วไปเพื่อระบายเงินโดยที่ฟังก์ชันถูกเรียกซ้ำหลาย ๆ ครั้งภายในธุรกรรมเดียวกัน ในกรณีทั่วไปหากแพลตฟอร์มรวบรวมสถิติมาตรฐานเกี่ยวกับเมตริกปกติของการใช้สัญญา (เช่นโดยทั่วไปฟังก์ชันจะเรียกว่า “x” ครั้ง) และตรวจสอบธุรกรรมที่ตัวเลขสูงกว่ามากก็มีแนวโน้มที่จะสามารถจับพฤติกรรมที่ผิดปกติได้ ทันทีที่มันเกิดขึ้น.

รูปที่ 8. CDP ของ Maker เปิดเมื่อเวลาผ่านไป

รูปที่ 8. CDP ของ Maker เปิดเมื่อเวลาผ่านไป

รูปที่ 8 แสดงตัวอย่างเหตุการณ์ที่มีความถี่สูงบนแพลตฟอร์มของ Maker ในไตรมาสที่ 3 ปี 2019 CDP รายวันเปิดถึง 8.7k ซึ่งสูงกว่าค่าเฉลี่ยในอดีตที่ 172 ต่อวัน การเปิด CDP ระดับสูงอีกสองสามชุดเกิดขึ้นในสัปดาห์และเดือนต่อ ๆ ไป เราเชื่อว่าข้อมูลเหล่านี้มาจาก แคมเปญ กำหนดเป้าหมายการได้มาของผู้ใช้ แต่มันแสดงให้เห็นว่าการกดด้วยตนเองจะทิ้งร่องรอยไว้และเราสามารถตรวจสอบเพื่อให้ตื่นตัวอยู่เสมอ.

3. รูปแบบพฤติกรรมคงที่ (ตรวจจับบอท)

เป็นแนวทางปฏิบัติที่ถูกต้องสำหรับบุคคลหรือทีมในการสร้างบ็อตการเก็งกำไรเพื่อโต้ตอบกับ (บางส่วน) โปรโตคอล DeFi แต่ทีมผู้พัฒนาแพลตฟอร์มอาจมีความกังวลต่อผลกระทบของบอทต่อประสบการณ์ฐานผู้ใช้ ด้วยการกำหนดกฎและรูปแบบที่เฉพาะเจาะจงซึ่งบ่งบอกถึงพฤติกรรมของบอทอัตโนมัติ (จำนวนการดำเนินการคงที่ในทุกช่วงเวลาที่กำหนด) จึงเป็นไปได้ที่จะสร้างกลไกในการตรวจจับบอทและตรวจสอบอิทธิพลที่มีต่อพูล.

4. Super Users (ปลาวาฬ)

ปลาวาฬที่ใช้งานอยู่ในฐานผู้ใช้ของโปรโตคอล DeFi อาจมีอิทธิพลอย่างมากต่อเสถียรภาพของระบบ ดังนั้นอีกแนวทางหนึ่งในการรักษาความปลอดภัยเชิงระบบโดยทั่วไปคือการทำความเข้าใจพฤติกรรมของ“ ผู้ใช้ขั้นสูง” และมีความคิดที่ลึกซึ้งยิ่งขึ้นต่อความเสี่ยงที่อาจเกิดขึ้น.

รูปที่ 9. การเคลื่อนไหวของผู้ใช้ DeFi ขนาดใหญ่ กราฟจากรายงาน Alethio Q1 DeFi

รูปที่ 9. การเคลื่อนไหวของผู้ใช้ DeFi ขนาดใหญ่ กราฟจากรายงาน Alethio Q1 DeFi.

ผลิตภัณฑ์บริหารความเสี่ยง

การประกันภัยที่ใช้บล็อกเชนมีมาระยะหนึ่งแล้ว แต่ในช่วงไม่กี่เดือนที่ผ่านมาได้รับความสนใจอย่างมาก. Nexus Mutual – ผู้เชี่ยวชาญด้านการประกันภัย blockchain ที่ ลงมือทำ ในฐานะผู้ตอบแบบสอบถามรายแรกสำหรับเหยื่อในการหาประโยชน์จาก bZx และเมื่อไม่นานมานี้ Opyn ได้กลายเป็นผู้เล่นอันดับต้น ๆ ในอุตสาหกรรม DeFi ที่อยู่ติดกันนี้โดยทำหน้าที่เป็นตัวเลือกป้องกันความเสี่ยงจากทรัพย์สินที่ได้รับการคุ้มครอง ตาม บล็อก, ชื่อผลิตภัณฑ์อื่น ๆ ที่คล้ายคลึงกัน ได้แก่ Etherisc, iXledger, VouchForMe และ aigang วิดเจ็ตเหล่านี้ให้บริการสำหรับความต้องการที่คล้ายคลึงกันในขณะเดียวกันก็สามารถรักษาความปลอดภัยเป็นชั้นพิเศษสำหรับกันและกัน – คุณสามารถซื้อประกัน Nexus ได้จากตัวเลือก Opyn ในรูปแบบ“ การประกันภัยต่อ”.

ConsenSys ได้เปิดตัว Codefi Compliance ซึ่งเป็นแพลตฟอร์มการกำกับดูแลและการปฏิบัติตามข้อกำหนดอัตโนมัติและคล่องตัวสำหรับสินทรัพย์ดิจิทัล การปฏิบัติตาม Codefi เป็นส่วนหนึ่งของชุดผลิตภัณฑ์ Codefi ซึ่งรวมพลังการค้าและการเงินโดยการปรับกระบวนการทางธุรกิจให้เหมาะสมและการแปลงเครื่องมือทางการเงินให้เป็นดิจิทัล ในฐานะโซลูชันรุ่นใหม่สำหรับการต่อต้านการฟอกเงิน (AML) และการต่อต้านการจัดหาเงินทุนจากการก่อการร้าย (CFT) Codefi Compliance ทำให้มั่นใจได้ว่าสินทรัพย์ดิจิทัลเป็นไปตามความคาดหวังของกฎระเบียบโดยไม่กระทบต่อความต้องการของตลาดและธุรกิจโดยไม่คำนึงถึงเขตอำนาจศาลและการออกแบบ เป็นโซลูชันการปฏิบัติตามข้อกำหนดเดียวที่ออกแบบมาเฉพาะสำหรับสินทรัพย์ที่ใช้ Ethereum และสร้างโดย ConsenSys ซึ่งเป็นผู้นำในการพัฒนา Ethereum Codefi Compliance มอบความสามารถในการปฏิบัติตามข้อกำหนดขั้นสูงซึ่งรวมถึงกรอบการทำงานของ Know-your-transaction (KYT) การจัดการกรณีที่มีความเสี่ยงสูงและการรายงานแบบเรียลไทม์.

การรับรู้

แม้ว่าเครื่องมือและทรัพยากรจำนวนมากจะได้รับการพัฒนาเพื่อช่วยให้ลูกค้ามีส่วนร่วมกับ DeFi ได้อย่างมั่นใจมากขึ้น แต่ระบบนิเวศนั้นต้องการการรับรู้ในระดับที่สูงขึ้น เมื่อมองย้อนกลับไปที่เหตุการณ์ในเดือนกุมภาพันธ์มีนาคมและเมษายนสิ่งสำคัญคือต้องยอมรับว่าพื้นที่ DeFi คือ:

  1. ยังคงเปราะบางในบางโปรโตคอล. แม้ว่าระบบนิเวศโดยรวมจะมีความยืดหยุ่นพอสมควร แต่โปรโตคอลส่วนบุคคลยังคงได้รับผลกระทบอย่างรุนแรง โดยเฉพาะอย่างยิ่งปริมาณสระว่ายน้ำสภาพคล่องที่ จำกัด อาจทำให้เกิดการเลื่อนหลุดของราคาได้ง่าย.

  2. ขึ้นอยู่กับสถาปัตยกรรม “เลโก้” ของ Ethereum. DeFi อาศัยอยู่เหนือ Ethereum และอย่างน้อยก็ในขณะนี้ – ขึ้นอยู่กับสุขภาพและความมั่นคงของราคา ETH สิ่งนี้แสดงให้เห็นโดยเฉพาะอย่างยิ่งในช่วงเหตุการณ์ตลาดเดือนมีนาคม.

  3. ระบบนิเวศที่ตั้งไข่และส่งผลให้เกิดการโจมตีได้ง่าย. ตามที่ได้รับการพิสูจน์แล้วจากเหตุการณ์ในช่วงไม่กี่เดือนที่ผ่านมาโอกาสอันยิ่งใหญ่ของเทคโนโลยีบล็อกเชนไม่ได้ป้องกันจากแนวโน้มเดียวกันที่จะมีจุดบกพร่องและเวกเตอร์การโจมตีแบบที่เทคโนโลยีดั้งเดิมมี.

อย่างไรก็ตามผลสุทธิของเหตุการณ์ทั้งหมดนี้เป็นบวก และการโจมตีเหล่านี้ไม่ใช่เรื่องใหม่สำหรับชุมชน Ethereum ซึ่งแสดงให้เห็นจากคลื่นที่ DAO โจมตีในระบบนิเวศของ crypto ในปี 2016 การโจมตีทำให้ทีมและผู้เข้าร่วมส่วนใหญ่ใส่ใจในความปลอดภัยของผลิตภัณฑ์ต่างๆมากขึ้น และด้วยความตระหนักดังกล่าวเราเชื่อว่าเมตริกและเครื่องมือที่เป็นผู้ใหญ่มากขึ้นจะได้รับการพัฒนาเพื่อตอบสนองความต้องการและช่วยป้องกันความเสี่ยง.

ความเข้าใจการบำรุงรักษาและการปรับปรุงโค้ดเบสของทีมนักพัฒนามีความสำคัญต่อสุขภาพและความเจริญรุ่งเรืองของระบบนิเวศทั้งหมด ส้อมที่ไม่ได้รับการตรวจสอบจากงานที่มีอยู่ของผู้อื่นอาจส่งผลร้ายแรงได้ เมื่อโพรโทคอลเผยแพร่บนเมนเน็ตแล้วมันจะกลายเป็นฮันนี่พ็อตได้อย่างมีประสิทธิภาพโดยเปิดรับการโจมตีที่เป็นอันตราย โปรโตคอลทางการเงินเหล่านี้มีความซับซ้อนและเต็มไปด้วยคุณค่า แต่ยังค่อนข้างอ่อนเยาว์ดังนั้นจึงสามารถละเมิดความไว้วางใจของผู้ใช้ได้เป็นพิเศษ.

แม้จะมีเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นมากมายในโปรโตคอล DeFi แต่อุตสาหกรรมก็ยังคงมีอยู่อย่างท่วมท้น บวก เกี่ยวกับโอกาสของ DeFi และโมเมนตัมที่นำมาสู่ Ethereum สถิติ Objective DeFi สนับสนุนความเชื่อมั่นในเชิงบวก เพื่อตอบสนองต่อเหตุการณ์ด้านความปลอดภัยในปีนี้และแรงกดดันทางการตลาดที่เริ่มต้นในเดือนมีนาคม ETH ที่ถูกล็อกได้ลดลงจากระดับสูงสุดตลอดกาลในเดือนกุมภาพันธ์ อย่างไรก็ตามระดับได้ลดลงเหลือเพียงตัวเลขในเดือนธันวาคม 2019 เท่านั้นสถิติเหล่านี้แม้จะเผชิญกับเหตุการณ์ด้านความปลอดภัยที่มีรายละเอียดสูงแสดงให้เห็นว่าระบบนิเวศของ DeFi โดยรวมได้ผ่านจุดที่ ‘ไม่กลับมา’ ในบางจุดแม้ว่าความเชื่อมั่นในแต่ละโปรโตคอลจะได้รับผลกระทบก็ตาม ความมุ่งมั่นโดยรวมต่อกระบวนทัศน์ใหม่ของการเงินแบบกระจายอำนาจยังคงแข็งแกร่ง.

เขียนโดย Danning Sui และ Everett Muzzy

ข้อจำกัดความรับผิดชอบ

Codefi Data ไม่มีความชอบหรืออคติต่อโครงการใด ๆ ที่กล่าวถึงข้างต้น ช่วงของโปรโตคอลที่กล่าวถึงมี จำกัด และเราจะดำเนินการเพิ่มในรายการต่อไปเพื่อให้ได้มุมมองแบบองค์รวมมากขึ้น บทความนี้ไม่ควรใช้เป็นแนวทางในการปฏิบัติที่เป็นอันตรายหรือคำแนะนำในการซื้อขาย.

DeFiIndustry Insight จดหมายข่าวสมัครรับจดหมายข่าวของเราเพื่อรับข่าวสารล่าสุดของ Ethereum โซลูชันระดับองค์กรทรัพยากรสำหรับนักพัฒนาและอื่น ๆ ที่อยู่อีเมล

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map