NEWSLETTER # 5: Σκέψεις για την ασφάλεια DeFi

blog 1ΕιδήσειςΑναπτυσσόμενοιΕξέτασηΕπεξήγηση BlockchainΕκδηλώσεις και ΣυνέδριαΠατήστεΕνημερωτικά δελτία

Εγγραφείτε στο newsletter μας.

Διεύθυνση ηλεκτρονικού ταχυδρομείου

Σεβόμαστε το απόρρητό σας

Αρχική ΣελίδαBlogCodefi

NEWSLETTER # 5: Σκέψεις για την ασφάλεια DeFi

από την Nicole Adarme 12 Μαΐου 2020 Δημοσιεύτηκε στις 12 Μαΐου 2020

χαρακτηριστικό codefi

Γεια σου φίλε,

Ελπίζοντας αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου σας βρίσκει καλά και προσαρμόζεται (ή προσαρμόζεται) στα νέα μας πρότυπα συμπεριφοράς. Εάν συντονιστείτε στην πρώτη εικονική σύνοδο κορυφής Ethereal αυτήν την περασμένη εβδομάδα, ακούσατε πολλά για τη σημασία του DeFi στο Ethereum και το μέλλον του δικτύου με την κυκλοφορία του Ethereum 2.0. Επομένως, για το ενημερωτικό δελτίο αυτού του μήνα, σκεφτήκαμε ότι θα σας ενημερώσουμε και για τα δύο.

Το ζήτημα της ασφάλειας στις εφαρμογές DeFi

Το 2020 έχει αποδειχθεί μια κρίσιμη χρονιά για το οικοσύστημα Ethereum DeFi. Εκτός από τον εορτασμό περισσότερων από 1 δισεκατομμυρίων δολαρίων ΗΠΑ που είναι κλειδωμένα στο DeFi και σημαντικά ορόσημα πλατφόρμας, ο κλάδος έχει υποστεί συχνές εμφανίσεις μικρών και μεγάλων συμβάντων ασφαλείας τόσο στις νέες όσο και στις καθιερωμένες εφαρμογές DeFi. Τα συμβάντα bZx και Maker του Φεβρουαρίου και του Μαρτίου έχουν καλυφθεί καλά, αλλά έχουμε τραβήξει ορισμένα δεδομένα και πληροφορίες σχετικά με τα πρόσφατα γεγονότα σχετικά με τα πρωτόκολλα Uniswap και Lendf.me, ειδικά γύρω από τον συμβιβασμό του προτύπου διακριτικών ERC-777 που επέτρεψε στους χάκερ αποστραγγίστε κρυπτογράφηση αξίας 25 εκατομμυρίων $ στις 18 Απριλίου & 19ος. 

Το διακριτικό imBTC είναι ένα διακριτικό ERC-777 που κυκλοφόρησε από Tokenlon, ένα DEX που εκτελείται στο πρωτόκολλο 0x. Και στα δύο περιστατικά Uniswap και Lendf.me, οι hackers εκμεταλλεύτηκαν μια ευπάθεια επανεισόδου που προέκυψε από την ασυμβατότητα μεταξύ του προτύπου διακριτικού ERC-777 και των πρωτοκόλλων DeFi. Σε γενικές γραμμές, η ευπάθεια επανεισόδου επέτρεψε στον χάκερ να ξοδέψει ουσιαστικά τις αρχικές καταθέσεις του imBTC, παρέχοντάς τους ουσιαστικά απεριόριστο κεφάλαιο για την πραγματοποίηση συναλλαγών ή δανειοδοτήσεων.

Απενεργοποίηση:

Η επίθεση έγινε δυνατή επειδή το Uniswap V1 δεν διαθέτει μέτρα για την προστασία από αυτόν τον τύπο επίθεσης επανεισόδου όταν αλληλεπιδρά με το πρότυπο ERC-777. Συνολικά, ο εισβολέας κέρδισε ~ $ 300k USD σε imBTC και ETH (~ 141k $ ETH + ~ 160k $ imBTC). 

Είναι ενδιαφέρον ότι αυτός ο φορέας επίθεσης δεν ήταν άγνωστος στο Uniswap ή στην κοινότητα κρυπτογράφησης γενικά. Σχεδόν ακριβώς ένα χρόνο πριν από την επίθεση Uniswap, ConsenSys Diligence – η υπηρεσία ελέγχου ασφαλείας που προσφέρει η ConsenSys – ταυτοποιήθηκε και δημοσιεύθηκε τον φορέα επίθεσης επανεισόδου ERC-777. Το Uniswap είχε σχέδια να αντιμετωπίσει τον φορέα επίθεσης, όπως περιγράφεται στο δικό τους 23 Μαρτίου δημοσίευση ιστολογίου σχετικά με τα χαρακτηριστικά του Uniswap V2.


γράφημα 1.png

Lendf.me

Το περιστατικό Lendf.me εκμεταλλεύτηκε την ίδια ευπάθεια επανεισόδου που διατέθηκε από την ελλιπή συμβατότητα μεταξύ του πρωτοκόλλου δανεισμού και του προτύπου διακριτικού ERC-777, αλλά σε πολύ πιο εκτεταμένο βαθμό επιτυχίας. Σχεδόν το 100% των κεφαλαίων του Lendf.me – πάνω από 24 εκατομμύρια δολάρια ΗΠΑ – εξαντλήθηκε κατά τη διάρκεια της επίθεσης στις 19 Απριλίου.

Σε αντίθεση με την εκδήλωση Uniswap, τα κλεμμένα χρήματα δεν περιορίστηκαν μόνο στα ETH και imBTC. Αν και η πλειονότητα των κλεμμένων χρημάτων ήταν WETH (10,8 εκατομμύρια $), τα USDT και HBTC αντιστοιχούσαν σε επιπλέον 9,7 εκατομμύρια $, ακολουθούμενα από τουλάχιστον 16 άλλα κουπόνια. Τα παρακάτω γραφήματα δείχνουν την κατανομή περιουσιακών στοιχείων των συμβιβασμένων κεφαλαίων και τους μηνιαίους όγκους των συμβόλων στο Lendf.me που οδηγούν στην επίθεση στις 19 Απριλίου.

γράφημα 2.png

γράφημα 3.png

Σε μια απροσδόκητη σειρά γεγονότων, οι χάκερ Lendf.me επέστρεψαν τα κλεμμένα χρήματα στο πρωτόκολλο, σύμφωνα με πληροφορίες επειδή κατά λάθος εξέθεσε μια διεύθυνση IP κατά τη διάρκεια της επίθεσης. Το παρακάτω διάγραμμα Sankey δείχνει τη ροή χρημάτων μετά την παραβίαση. Τα χρήματα έφυγαν από το συμβόλαιο Lendf.me (πράσινο), πέρασαν από τη σύμβαση χειριστή (γκρι) και στη διεύθυνση του εισβολέα (μαύρο). Μετά την αποκάλυψη της IP, ο χάκερ μετέφερε τα χρήματα πίσω στη διεύθυνση διαχειριστή Lendf.me, η οποία στη συνέχεια μετέφερε τα χρήματα σε μια διεύθυνση ανάκτησης (και οι δύο με μωβ χρώμα). Η ακροδεξιά του γραφήματος, όπου το διάγραμμα ρέει σε πολλές μεμονωμένες ροές κεφαλαίων, σηματοδοτεί τη στιγμή που Lendf.me επέστρεψε χρήματα σε μεμονωμένους χρήστες.

γράφημα 4.png

Τι σημαίνει αυτό για το DeFi?

Παρά αυτά τα κύματα περιστατικών ασφαλείας στα πρωτόκολλα DeFi, η βιομηχανία εξακολουθεί να είναι συντριπτικά θετικός για τις ευκαιρίες του DeFi και την ορμή που φέρνει στο Ethereum. Οι στατιστικές του Objective DeFi υποστηρίζουν θετικά συναισθήματα. Σε απάντηση στα γεγονότα ασφαλείας φέτος και στις σημαντικές πιέσεις της αγοράς που ξεκινούν τον Μάρτιο, το κλειδωμένο ETH μειώθηκε από το υψηλό όλων των εποχών τον Φεβρουάριο. Ωστόσο, τα επίπεδα έχουν μειωθεί μόνο στους αριθμούς του Δεκεμβρίου 2019. Αυτά τα στατιστικά στοιχεία, ακόμη και ενόψει υψηλού προφίλ συμβάντων ασφαλείας, υποδηλώνουν ότι το οικοσύστημα DeFi στο σύνολό του έχει ξεπεράσει κάποιο σημείο «χωρίς επιστροφή». Αν και η εμπιστοσύνη στα μεμονωμένα πρωτόκολλα έχει υποστεί, Η συνολική δέσμευση για τα αναδυόμενα πρότυπα αποκεντρωμένης χρηματοδότησης παρέμεινε ισχυρή.

Κατά τη διάρκεια αυτών των περιστατικών ασφαλείας του 2020, η κοινότητα Ethereum εστίασε την προσοχή της σε τρόπους πρόληψης και αντιμετώπισης μελλοντικών γεγονότων. Σε γενικές γραμμές, υπάρχει η πρόταση αξίας όλων αυτών των hacks που συμβαίνουν στην ανοιχτή τεχνολογία. Χωρίς να απαιτείται ειδική άδεια ή πρόσβαση, οι ελεγκτές ασφαλείας τρίτων μερών και οι προγραμματιστές dapp μπόρεσαν να αναλύσουν ελεύθερα τα περιστατικά, να προειδοποιήσουν για άλλες αδυναμίες και να προτείνουν διορθώσεις για μελλοντικές εφαρμογές DeFi. Αυτά τα περιστατικά αποκαλύπτουν το συνεργατικό ήθος του ανοιχτού λογισμικού και θέτουν το στάδιο για ένα πιο ασφαλές οικοσύστημα. Συγκεκριμένα:

Εργαλεία παρακολούθησης DeFi: Αξιοποιώντας το άνοιγμα του Ethereum blockchain, μια σειρά από εργαλεία παρακολούθησης που σχετίζονται με το DeFi είναι διαθέσιμα στο κοινό για να αλληλεπιδράσουν με μεγαλύτερη αυτοπεποίθηση με οικονομικές εφαρμογές. Codefi Επιθεώρηση είναι ένα εργαλείο ανοιχτού κώδικα για τη συγκέντρωση κρίσιμων πληροφοριών ασφαλείας σχετικά με τα πρωτόκολλα DeFi, συμπεριλαμβανομένων δημόσιων ελέγχων, λεπτομερειών βασικού διαχειριστή, εξάρτησης από το oracle και δραστηριότητας στην αλυσίδα. Codefi’s Βαθμολογία DeFi είναι μια τιμή κινδύνου πλατφόρμας που μπορεί να συγκριθεί μεταξύ των πρωτοκόλλων για την καλύτερη ενημέρωση των αποφάσεων των χρηστών κατά την επιλογή μεταξύ εφαρμογών DeFi.

Διαφάνεια ασφαλείας: Οι Dapps γίνονται πιο ανοιχτές σχετικά με τις αναγνωρισμένες ευπάθειες ασφαλείας. Η Uniswap αναγνώρισε το ζήτημα ERC-777 στο δικό τους Δημοσίευση ιστολογίου Μαρτίου 2020. Ένας προγραμματιστής από το πρωτόκολλο συναλλαγών Hegic δημοσίευσε ένα ανοιχτό «μετά τη σφαγή» για ένα σφάλμα στον κώδικά της που κατέστησε απρόσιτη κάποια χρήματα. Το πρωτόκολλο Exchange Το Loopring εντόπισε μια ευπάθεια front-end, σταμάτησε την ανταλλαγή, ανακοινώθηκε στην κοινότητα, και εργάστηκε για να διορθώσει το πρόβλημα. Αυτό το είδος διαφάνειας είναι ζωτικής σημασίας για την οικοδόμηση εμπιστοσύνης μεταξύ νέων και υπαρχόντων χρηστών και για την κλιμάκωση ενός ασφαλέστερου δικτύου πρωτοκόλλων DeFi.

Ασφάλιση DeFi: Η ασφάλιση που βασίζεται στο Blockchain υπήρξε εδώ και αρκετό καιρό, αλλά έχει εστιαστεί έντονα τους τελευταίους μήνες. Nexus Mutual – ένας βετεράνος ασφάλισης blockchain – και πιο πρόσφατα Όπυν (επανε) εμφανίστηκαν ως κορυφαίοι παίκτες σε αυτόν τον παρακείμενο κλάδο DeFi. Είναι πιθανό να υπάρχουν ευπάθειες ασφαλείας σε οποιονδήποτε τεχνολογικό τομέα, είτε πρόκειται για αναδυόμενους είτε για κατεστημένους φορείς. Όσο πιο προστατευτικά μέτρα υπάρχουν μαζί με αυτές τις τεχνολογίες, τόσο πιο εύκολη είναι η πορεία προς την ευρεία υιοθέτηση.

Γρήγορες επιτυχίες Codefi

Επερχόμενο Webinar

CBDC και Stablecoins

14 Μαΐου 2020

Κανω ΕΓΓΡΑΦΗ

cbdc.jpg

Κατάσταση + του + Staking + Webinar + Προτεινόμενα + (1) .png

Επερχόμενο Webinar

Η κατάσταση του στοιχήματος

19 Μαΐου 2020

Κανω ΕΓΓΡΑΦΗ

Ανακοινώσεις

  • Νέο στο Newsletter και στο Codefi? Ολοκλήρωση παραγγελίας αυτό το εξηγητικό βίντεο σχετικά με το ConsenSys Codefi.

  • Σχόλια ConsenSys Codefi: TLDR; θέλουμε να φτάσουμε σε ξέρω καλύτερα και θα χρειαστούν 3 λεπτά.

  • API δεδομένων Codefi: Με το API δεδομένων, οι προγραμματιστές, οι επενδυτές, οι επιχειρήσεις και οι λάτρεις της DeFi μπορούν πλέον να ανακτήσουν δεδομένα κινδύνου σε μια μορφή εύκολης ενσωμάτωσης που υποστηρίζει καλύτερα τα έργα τους. Ελάτε σε επαφή για να ξεκινήσετε με το API. 

  • Ποσοστό DeFi: Το CodeFi εγκαινιάζει νέο εργαλείο διαχείρισης κινδύνων δανεισμού DeFi: Επιθεώρηση. Κυκλοφόρησε τον περασμένο μήνα, το Codefi Inspect είναι ένα έργο ανοιχτού κώδικα αφιερωμένο στη διαφάνεια πρωτοκόλλου στο DeFi, παρακολουθώντας όλους τους δημόσιους ελέγχους, λεπτομέρειες κλειδιού διαχειριστή, εξάρτηση από το oracle και δραστηριότητα στην αλυσίδα. 

  • Ανυπομονώ για το Ethereum 2.0; Η Codefi Activate δημιούργησε μια αριθμομηχανή Eth2 για να βοηθήσει τους κατόχους ETH να αρχίσουν να προσδιορίζουν τι είδους ανταμοιβές θα μπορούσαν να προβλέψουν από το στοίχημα στο δίκτυο. Υπολογίστε τις πιθανές ανταμοιβές ETH σας.

  • Η έκθεση της Codefi Asset σχετικά με τη χρήση blockchain για την ενίσχυση των δημοτικών εκπαιδευτικών συστημάτων καθώς μεταβαίνουν στην ψηφιακή μάθηση την εποχή του COVID-19. 

  • Μια πρόσφατη έκθεση του ConsenSys Codefi εξετάζει τις προτιμήσεις, τις προσδοκίες και τα σημεία πόνου των κατόχων ETH καθώς προσβλέπουν στην κυκλοφορία του Ethereum 2.0 και στην ευκαιρία να συμμετάσχουν στο ETH. Διαβάστε την Έκθεση σχετικά με το οικολογικό σύστημα Eth2 Staking.

Προβολέας Codefi:

Η έκθεση σχετικά με το οικοσύστημα στοιχήματος Ethereum 2.0

Η κυκλοφορία του Ethereum 2.0 (Eth2) το 2020 παρουσιάζει ένα κρίσιμο και πολυαναμενόμενο ορόσημο δικτύου. Η επιτυχής έναρξη του δικτύου θα απαιτήσει από τους κατόχους ETH να επιλέξουν να καταθέσουν το ETH τους ως μερίδιο στο νέο δίκτυο Proof of Stake. Για να κατανοήσουν τα κίνητρα, τις προτιμήσεις και τις συμπεριφορές των κατόχων ETH που σχεδιάζουν (ή όχι) να συμμετάσχουν στο Ethereum 2.0, η Codefi Activate ερεύνησε ~ 300 κατόχους ETH. Αυτά τα συμπεράσματα συλλέχθηκαν στην έκθεση σχετικά με το οικολογικό σύστημα Stake Ethereum 2.0. 

Μεταξύ όλων των ερωτηθέντων, πάνω από 65% σκοπεύουν να συμμετάσχουν στο Ethereum 2.0. Μόνο το 17% ήταν είτε αναποφάσιστοι (14%) είτε είχαν αποφασίσει να μην συμμετάσχουν (~ 3%). Από τους ερωτηθέντες που σκοπεύουν να στοιχηματίσουν, διαχωρίζονται κατά προσέγγιση 50/50 μεταξύ του προγραμματισμού για τη λειτουργία των δικών τους κόμβων επικύρωσης και του προγραμματισμού να χρησιμοποιήσουν μια υπηρεσία στοιχήματος τρίτου μέρους. Και τα δύο τμήματα, ωστόσο, σκοπεύουν να διακυβεύσουν περίπου το 50% της ιδιοκτησίας τους ETH.

γράφημα 5.png

Ένα βασικό κίνητρο για τη συμμετοχή των κατόχων ETH στο δίκτυο Ethereum 2.0 είναι η πιθανότητα αποκλεισμού ανταμοιβών με τη μορφή ETH. Όταν ρωτήθηκε τι% επιστροφή θα επικυρώσει τη συμμετοχή τους στο Eth2, οι ερωτηθέντες που σκοπεύουν να εκτελέσουν τους δικούς τους επικυρωτές θα απαιτούσαν κατά μέσο όρο 5,8% επιστροφές (του στοιχημένου ETH). Όσοι σκοπεύουν να χρησιμοποιήσουν μια υπηρεσία τρίτου μέρους, ωστόσο, θα απαιτούσαν ελαφρώς υψηλότερες ανταμοιβές – κατά μέσο όρο 7,6%. Αυτή η απόκλιση 2% θα μπορούσε να οφείλεται σε εκείνους που σκοπεύουν να χρησιμοποιήσουν ένα τρίτο μέρος, με την προσδοκία ότι αυτές οι υπηρεσίες θα χρεώσουν ένα τέλος για τη χρήση. Είναι ενδιαφέρον ότι τα άτομα που είναι επί του παρόντος αναποφάσιστα για το αν θα στοιχηματίσουν ή όχι, θα απαιτούσαν ακόμη υψηλότερες ανταμοιβές για να τους πείσουν να αρχίσουν να ποντάρουν: 9,4%. Με το αρχικό Ethereum 2.0 ανταμείβει αυτό θα μπορούσε να κυμαίνεται έως και 20%, υπάρχει σημαντική δυνατότητα σύλληψης αυτών των αναποφάσιστων κατόχων ETH.

Το υπόλοιπο του Codefi Activate Ethereum 2.0 Staking Report περιγράφει λεπτομερώς τις προτιμήσεις αυτών των τμημάτων κατόχων ETH και προσδιορίζει τις βασικές επιλογές που πρέπει να λάβουν υπόψη οι υπηρεσίες παροχής υπηρεσιών Eth2 και των πελατών όταν προσφέρουν προϊόντα στους καταναλωτές. Ιδιαίτερη σημασία έχει η συνεχιζόμενη ανάγκη εκπαίδευσης γύρω από τους μηχανισμούς του Ethereum 2.0, την ασφάλειά του και τα οικονομικά κίνητρα. Λιγότερο από το 35% των ερωτηθέντων ανέφεραν μια «ορθή» κατανόηση των οικονομικών Ethereum 2.0. 

Πραγματοποιήστε λήψη της έκθεσης Eth 2.0 Staking Ecosystem

Προς το συμφέρον της προώθησης της εκπαίδευσης και της κατανόησης, η ConsenSys ξεκίνησε τη βάση γνώσεων Ethereum 2.0 για να παρέχει συνεχώς τις πιο ενημερωμένες πληροφορίες Ethereum 2.0 τόσο για τεχνικό όσο και για μη τεχνικό κοινό.

Επισκεφθείτε τη Γνωσιακή Βάση Eth 2.0

Τελικές παρατηρήσεις

Σας ευχαριστούμε που κολλήσατε σε αυτό το ενημερωτικό δελτίο. Ελπίζουμε να είχατε την ευκαιρία να συντονιστείτε την περασμένη εβδομάδα στην πρώτη εικονική σύνοδο κορυφής Ethereal. Εάν όχι (ή αν θέλετε απλώς να παρακολουθήσετε ξανά τα αγαπημένα σας), ρίξτε μια ματιά στις μεταφορτωμένες ομιλίες και πάνελ από ολόκληρο το οικοσύστημα Ethereum και blockchain, συμπεριλαμβανομένου του Codefi, στο Ethereal YouTube. Εν τω μεταξύ, ακολουθήστε μας Κελάδημα, μάθετε περισσότερα στον ιστότοπό μας και ενημερώστε μας για τις σκέψεις σας. Είτε ενδιαφέρεστε να συνεργαστείτε μαζί μας είτε για εμάς, είτε θέλετε να πείτε γεια, μη διστάσετε να επικοινωνήσετε μαζί μας.

Προωθήθηκε αυτό το μήνυμα? Εγγραφείτε για μηνιαίες ενημερώσεις.

Μέχρι την επόμενη φορά, 

Η ομάδα του ConsenSys Codefi

DeFiNewsletterΕνημέρωση προϊόντοςNewsletterΕγγραφείτε στο ενημερωτικό μας δελτίο για τις τελευταίες ειδήσεις Ethereum, εταιρικές λύσεις, πόρους προγραμματιστών και πολλά άλλα. Διεύθυνση ηλεκτρονικού ταχυδρομείου

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map