تعمل أسواق الإقراض الأكثر ذكاءً وفرق القبعة البيضاء المستجيبة على تحسين اختراق DeFi لأمان ما بعد المنحنى
بالكاد وصل اختراق The Curve إلى المراكز الثلاثين الأولى على الإطلاق ، وفقًا لـ Rekt's Global Exploit Loss Leaderboard ، على الرغم من أن القبعات البيضاء وائتلاف من خبراء الأمن تمكنوا من استرداد بعض الأموال المسروقة قبل ذلك. هذا الأمر أكثر إثارة للقلق بالنسبة لمعظم المراقبين. بادئ ذي بدء ، Curve هو بروتوكول سيولة معروف وجزء حيوي من نظام العملة المستقرة.
في يوم الأحد ، 30 يوليو ، قال فريق Curve مرتين على الأقل إنه خفف من تأثير الاختراق ، لكن هجومًا آخر تسبب في أضرار بملايين الدولارات سيؤدي بلا شك إلى عدم الارتياح.
قد يكون الضرر الذي لحق بالبروتوكول من الهجوم تداعيات مقلقة بعد مواقف DeFi المختلفة التي عبر عنها مؤسس Curve Michael Egorov.
قبل الاختراق ، كانت القروض التي تزيد قيمتها عن 110 مليون دولار معرضة للخطر فجأة لأنها كانت مدعومة برمز حوكمة Curve (CRV) ورموز المكافآت ، والتي تضررت بشدة بالفعل. ركزت التقارير الإخبارية نفسها على تحليل التداعيات المحتملة للتصفية ، لا سيما احتمال أن يكون Aave ضحية.
ومع ذلك ، في نهاية المطاف ، تدخلت مجموعة قوية (وإن كان من غير المحتمل) من المشترين. لقد اشتروا CRV في صفقة خارج السوق ، مما سمح لإيجوروف بإعادة التوازن وسداد الديون الضخمة. حتى كتابة هذه السطور ، يحتوي عنوانه الأساسي على ما يزيد قليلاً عن 50 مليون دولار من الديون المستقرة ، مع 18 مليون دولار أخرى في شكل CRV الفوري المتاح للنشر.
منذ تسجيل البودكاست ، تحسنت صحة موقف إيغوروف ، وتدفق المزيد من الأموال مرة أخرى إلى البروتوكول ، وتعافى Alchemix على وجه الخصوص تمامًا.
لذلك أود أن أضيف أن استجابة المجتمع لعمليات التخفيف من الاختراق والاختراق تبدو في ذروة جديدة ، ونأمل أن يستمر معيار التميز هذا.
في الواقع ، بينما قد يتهمني البعض بأنني مثالي للغاية بشأن اختراق Curve مع تلاشي الغبار ، هناك إجماع متزايد على أنه على الرغم من الهجمات المتعددة الناجحة على أحد المنتجات الرئيسية للنظام البيئي ، إلا أن DeFi ستصبح أكثر مرونة. قد يكون هذا اتفاقًا متناقضًا.
لقد فكرت سابقًا في كيفية تصورنا لتأثير هذا الاختراق بمرور الوقت في إصدار من بودكاست Empire من Blockworks. من وجهة نظري ، سوف نتذكر هذا لتأثيره على كيفية تعامل سوق القروض مع المخاطر ، وليس فقط على مبلغ الدولار المفقود.
تسوية سوق القرض
في أعقاب الانتهاك ، واجه بروتوكول الإقراض سؤالًا مستمرًا: لماذا سمح لموقف مايكل إيجوروف بأن يصبح كبيرًا جدًا ويحتمل أن يكون محفوفًا بالمخاطر؟ والسؤال الأهم هو: من يجب أن يحاسب؟
قال مايكل بينتلي ، مؤسس شركة أويلر ، على تويتر إن الحادث هو مثال على السبب الذي يجعل DAOs - المكونة من دوائر انتخابية غير ناضجة - قد لا تكون الخيار الأفضل عندما يتعلق الأمر بإدارة المخاطر. في الواقع ، يبدو أن شركة Aave DAO ، التي تعاقدت مع شركة Gauntlet لنمذجة المخاطر ، قد تجاهلت التحذيرات من مقيمي المخاطر قبل الأزمة في يونيو. في النهاية ، قررت DAO الاحتفاظ بالمعامل Aave v2 CRV.
ومع ذلك ، قال إيفان نجمي ، وهو مساهم مجهول في Gearbox DAO ، في مقابلة مع Blockworks أن نظام إدارة المخاطر البرنامجي البحت ليس بالضرورة الخيار الأفضل بسبب درجة الاعتماد المتبادل بين البروتوكولات المختلفة وأسعار رمزية الحوكمة الخاصة بها. تجنب صندوق التروس بصعوبة تأثيرات اختراق تجمع التعدين CRV / ETH لبضعة أيام.
كتب: "يجب أن يفكر كل بروتوكول في البروتوكولات الأخرى ، مما يسمح بالتأثيرات المتتالية المحتملة. إذا كانت هذه البروتوكولات فوضوية ، فلا يمكنها تغيير أي شيء ، فالأمر متروك لمستخدمي هذه البروتوكولات."
وضع CRV خاص إلى حد ما. في هذه الحالة ، يتحكم مؤسسو البروتوكول تقريبًا في جميع الرموز المميزة المتداولة ويقدمون قروضًا في أماكن متعددة ويستخدمون تلك الرموز كضمان. تجعل الحوكمة على السلسلة من الصعب اكتشاف هذا الموقف أو التخفيف من حدته.
ومع ذلك ، يمكن تحسين الأنظمة حتى لو لم تكن مثالية. قال مارك زيلر ، مؤسس مبادرة Aave-Chan في مقابلة مع Blockworks ، إن اقتراحًا جديدًا سيحل تدريجياً وضع Egorov في الإصدار 2 خلال "ربع".
كتب: "إن العملية مستمرة ، وقد أدى استخدام تجمع CRV إلى تسريع التقدم". علاوة على ذلك ، فإن أحد الآثار الجانبية المفيدة لإعادة موازنة Egorov للمواقف هو أن إجمالي القيمة المقفلة (TVL) يتدفق من Aave v2 ، الذي لم يتم تحديد معايير المخاطر الخاصة به. مع ذلك تم تخفيفها بالكامل ، إلى سقف الاقتراض ، والذي يمكن أن يحد بشكل أفضل من اقتراض المستخدمين المتميزين في الإصدار 3.
وأضاف زيلر: "في النهاية ، تم الآن تقليل المخاطر الإجمالية لـ v2 وزيادة معدل اعتماد الإصدار 3 ، وبالتالي فإن التأثير الصافي إيجابي". في السوق ، تتم إدارة المخاطر بشكل مختلف. عند الاتصال به ، رفض إيجوروف التعليق ، مشيرًا إلى أنه تتم إدارته.
ختم 911
لعبت ظاهرة "غرفة الحرب" ، التي يعمل فيها أفراد المجتمع والمتطوعون مع مطوري البروتوكول المخترق لمحاولة التخفيف من تأثير الخرق ، دورًا رئيسيًا في العديد من عمليات الاسترداد الناجحة الأخيرة. ومع ذلك ، فإن مثل هذا الجهد يمكن أن يكون محفوفًا بالتعقيدات.
تعرضت شركتان أمنيتان ، Blocksec و Supremacy ، لانتقادات شديدة على وسائل التواصل الاجتماعي بعد الإفراج عن تفاصيل حول عملية استغلال ثغرة أمنية في برنامج التحويل البرمجي Vyper. وصف روبرت تشين من OtterSec في مدونة ممتازة كيف تم إحباط عمليتين مختلفتين للقبعة البيضاء في بضع دقائق فقط. في هذا الاختراق ، حيث أدت الثغرات الأمنية المستمرة إلى هجمات متعددة ، كان من الممكن أن يؤدي نشر معلومات حول عمليات الاستغلال إلى تزويد المهاجمين المحتملين بمعلومات إضافية من شأنها أن تسمح لهم بتجاوز القبعات البيضاء ، مما يؤدي إلى مزيد من الضرر.
ومع ذلك ، فأنا أتعاطف مع Blocksec ، الذين يشعرون أنه لا توجد وسيلة للاتصال بالفريق المتضرر ، وأن شرح الخلل للجمهور حتى يتمكن المستخدمون من سحب أموالهم هو الخيار الأخلاقي الصحيح.
في نهاية المطاف ، قد يكون جلب الأشخاص المناسبين إلى غرفة الحرب (دون لفت انتباه أصحاب القبعات السوداء المحتملين) مشكلة صعبة تتعلق بالدجاجة والبيضة. بعد حادث Curve ، قد يكون المجتمع قد طور حلاً ممكنًا.
أعلن الباحث الأمني النموذجي المجهول الغزير Samczsun عن إطلاق خدمة استجابة "تجريبية" للقبعة البيضاء تسمى SEAL 911. تهدف الخدمة ، المكونة من روبوتات Telegram ، إلى ربط الفرق التي تم اختراقها مؤخرًا بفريق من خبراء الأمن وقدامى المحاربين في غرفة الحرب. قال Storm ، وهو مساهم مجهول في Yearn و War Room منتظم ، لـ Blockworks في مقابلة أن الخدمة تهدف إلى حل نقطة الألم المتمثلة في ربطهم بخبراء على استعداد لمساعدة الفرق المتأثرة. Storm هو أيضًا عضو مفتوح في فريق SEAL 911.
كتب: "حتى ذلك الحين ، أنت بحاجة إلى أفراد أمن موثوق بهم على شبكتك في حالة وقوع حوادث أو حالات طوارئ ... نأمل أن يمنحك هذا خطًا ساخنًا بنقرة واحدة مع باحثين أمنيين ذوي خبرة يمكننا الوثوق بالاتصال بهم."
وفقًا لـ Storm ، تم استخدام الخدمة بالفعل لأن أعضاء بروتوكول Cypher القائم على Solana اتصلوا بأعضاء SEAL 911 يوم الاثنين ، بعد وقت قصير من الإعلان عن الخدمة.
علاوة على ذلك ، يصل SEAL 911 في وقت من المحتمل أن تكون فيه استجابة القبعة البيضاء في أعلى مستوى من الكفاءة. كان المفاوضون يؤمنون عودة الأموال من الاختراق منذ اختراق أويلر.
في 30 يوليو ، تم سحب 71 مليون دولار من مجمع التعدين Curve. وحتى الآن ، تم استرداد 75٪ من المبلغ من خلال عمليات ومفاوضات القبعة البيضاء. لا يزال يمتلك مستغل واحد فقط الأموال - وحتى أنهم يواجهون ضغوطًا متزايدة في شكل مكافآت مجتمعية.
قد لا يقدم ذلك الكثير من العزاء للمدخرين الذين شعروا بأنهم محاصرون في أسوأ لحظة للاختراق. ولكن بين تحسينات البروتوكول ولحظة التضامن داخل مجتمع الأمن ، يبدو أن نظام DeFi البيئي بعد هجوم Curve يبدو أكثر صحة من ذي قبل.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
ما هي الخطوة التالية لـ DeFi بعد أزمة المنحنى؟
المؤلف: أندرو ثورمان ، مترجم blockworks: Shan Ouba ، Jinse Finance
تعمل أسواق الإقراض الأكثر ذكاءً وفرق القبعة البيضاء المستجيبة على تحسين اختراق DeFi لأمان ما بعد المنحنى
بالكاد وصل اختراق The Curve إلى المراكز الثلاثين الأولى على الإطلاق ، وفقًا لـ Rekt's Global Exploit Loss Leaderboard ، على الرغم من أن القبعات البيضاء وائتلاف من خبراء الأمن تمكنوا من استرداد بعض الأموال المسروقة قبل ذلك. هذا الأمر أكثر إثارة للقلق بالنسبة لمعظم المراقبين. بادئ ذي بدء ، Curve هو بروتوكول سيولة معروف وجزء حيوي من نظام العملة المستقرة.
في يوم الأحد ، 30 يوليو ، قال فريق Curve مرتين على الأقل إنه خفف من تأثير الاختراق ، لكن هجومًا آخر تسبب في أضرار بملايين الدولارات سيؤدي بلا شك إلى عدم الارتياح.
قد يكون الضرر الذي لحق بالبروتوكول من الهجوم تداعيات مقلقة بعد مواقف DeFi المختلفة التي عبر عنها مؤسس Curve Michael Egorov.
قبل الاختراق ، كانت القروض التي تزيد قيمتها عن 110 مليون دولار معرضة للخطر فجأة لأنها كانت مدعومة برمز حوكمة Curve (CRV) ورموز المكافآت ، والتي تضررت بشدة بالفعل. ركزت التقارير الإخبارية نفسها على تحليل التداعيات المحتملة للتصفية ، لا سيما احتمال أن يكون Aave ضحية.
ومع ذلك ، في نهاية المطاف ، تدخلت مجموعة قوية (وإن كان من غير المحتمل) من المشترين. لقد اشتروا CRV في صفقة خارج السوق ، مما سمح لإيجوروف بإعادة التوازن وسداد الديون الضخمة. حتى كتابة هذه السطور ، يحتوي عنوانه الأساسي على ما يزيد قليلاً عن 50 مليون دولار من الديون المستقرة ، مع 18 مليون دولار أخرى في شكل CRV الفوري المتاح للنشر.
منذ تسجيل البودكاست ، تحسنت صحة موقف إيغوروف ، وتدفق المزيد من الأموال مرة أخرى إلى البروتوكول ، وتعافى Alchemix على وجه الخصوص تمامًا.
لذلك أود أن أضيف أن استجابة المجتمع لعمليات التخفيف من الاختراق والاختراق تبدو في ذروة جديدة ، ونأمل أن يستمر معيار التميز هذا.
في الواقع ، بينما قد يتهمني البعض بأنني مثالي للغاية بشأن اختراق Curve مع تلاشي الغبار ، هناك إجماع متزايد على أنه على الرغم من الهجمات المتعددة الناجحة على أحد المنتجات الرئيسية للنظام البيئي ، إلا أن DeFi ستصبح أكثر مرونة. قد يكون هذا اتفاقًا متناقضًا.
لقد فكرت سابقًا في كيفية تصورنا لتأثير هذا الاختراق بمرور الوقت في إصدار من بودكاست Empire من Blockworks. من وجهة نظري ، سوف نتذكر هذا لتأثيره على كيفية تعامل سوق القروض مع المخاطر ، وليس فقط على مبلغ الدولار المفقود.
تسوية سوق القرض
في أعقاب الانتهاك ، واجه بروتوكول الإقراض سؤالًا مستمرًا: لماذا سمح لموقف مايكل إيجوروف بأن يصبح كبيرًا جدًا ويحتمل أن يكون محفوفًا بالمخاطر؟ والسؤال الأهم هو: من يجب أن يحاسب؟
قال مايكل بينتلي ، مؤسس شركة أويلر ، على تويتر إن الحادث هو مثال على السبب الذي يجعل DAOs - المكونة من دوائر انتخابية غير ناضجة - قد لا تكون الخيار الأفضل عندما يتعلق الأمر بإدارة المخاطر. في الواقع ، يبدو أن شركة Aave DAO ، التي تعاقدت مع شركة Gauntlet لنمذجة المخاطر ، قد تجاهلت التحذيرات من مقيمي المخاطر قبل الأزمة في يونيو. في النهاية ، قررت DAO الاحتفاظ بالمعامل Aave v2 CRV.
! [P6BsNFa8KaCVZfRMWay4s93l3ywWbqhB9CLgLMSU.png] (https://img-cdn.gateio.im/resized-social/moments-40baef27dd-c170259e5c-dd1a6f-1c6801 "7079529
ومع ذلك ، قال إيفان نجمي ، وهو مساهم مجهول في Gearbox DAO ، في مقابلة مع Blockworks أن نظام إدارة المخاطر البرنامجي البحت ليس بالضرورة الخيار الأفضل بسبب درجة الاعتماد المتبادل بين البروتوكولات المختلفة وأسعار رمزية الحوكمة الخاصة بها. تجنب صندوق التروس بصعوبة تأثيرات اختراق تجمع التعدين CRV / ETH لبضعة أيام.
كتب: "يجب أن يفكر كل بروتوكول في البروتوكولات الأخرى ، مما يسمح بالتأثيرات المتتالية المحتملة. إذا كانت هذه البروتوكولات فوضوية ، فلا يمكنها تغيير أي شيء ، فالأمر متروك لمستخدمي هذه البروتوكولات."
وضع CRV خاص إلى حد ما. في هذه الحالة ، يتحكم مؤسسو البروتوكول تقريبًا في جميع الرموز المميزة المتداولة ويقدمون قروضًا في أماكن متعددة ويستخدمون تلك الرموز كضمان. تجعل الحوكمة على السلسلة من الصعب اكتشاف هذا الموقف أو التخفيف من حدته.
ومع ذلك ، يمكن تحسين الأنظمة حتى لو لم تكن مثالية. قال مارك زيلر ، مؤسس مبادرة Aave-Chan في مقابلة مع Blockworks ، إن اقتراحًا جديدًا سيحل تدريجياً وضع Egorov في الإصدار 2 خلال "ربع".
كتب: "إن العملية مستمرة ، وقد أدى استخدام تجمع CRV إلى تسريع التقدم". علاوة على ذلك ، فإن أحد الآثار الجانبية المفيدة لإعادة موازنة Egorov للمواقف هو أن إجمالي القيمة المقفلة (TVL) يتدفق من Aave v2 ، الذي لم يتم تحديد معايير المخاطر الخاصة به. مع ذلك تم تخفيفها بالكامل ، إلى سقف الاقتراض ، والذي يمكن أن يحد بشكل أفضل من اقتراض المستخدمين المتميزين في الإصدار 3.
وأضاف زيلر: "في النهاية ، تم الآن تقليل المخاطر الإجمالية لـ v2 وزيادة معدل اعتماد الإصدار 3 ، وبالتالي فإن التأثير الصافي إيجابي". في السوق ، تتم إدارة المخاطر بشكل مختلف. عند الاتصال به ، رفض إيجوروف التعليق ، مشيرًا إلى أنه تتم إدارته.
ختم 911
لعبت ظاهرة "غرفة الحرب" ، التي يعمل فيها أفراد المجتمع والمتطوعون مع مطوري البروتوكول المخترق لمحاولة التخفيف من تأثير الخرق ، دورًا رئيسيًا في العديد من عمليات الاسترداد الناجحة الأخيرة. ومع ذلك ، فإن مثل هذا الجهد يمكن أن يكون محفوفًا بالتعقيدات.
تعرضت شركتان أمنيتان ، Blocksec و Supremacy ، لانتقادات شديدة على وسائل التواصل الاجتماعي بعد الإفراج عن تفاصيل حول عملية استغلال ثغرة أمنية في برنامج التحويل البرمجي Vyper. وصف روبرت تشين من OtterSec في مدونة ممتازة كيف تم إحباط عمليتين مختلفتين للقبعة البيضاء في بضع دقائق فقط. في هذا الاختراق ، حيث أدت الثغرات الأمنية المستمرة إلى هجمات متعددة ، كان من الممكن أن يؤدي نشر معلومات حول عمليات الاستغلال إلى تزويد المهاجمين المحتملين بمعلومات إضافية من شأنها أن تسمح لهم بتجاوز القبعات البيضاء ، مما يؤدي إلى مزيد من الضرر.
ومع ذلك ، فأنا أتعاطف مع Blocksec ، الذين يشعرون أنه لا توجد وسيلة للاتصال بالفريق المتضرر ، وأن شرح الخلل للجمهور حتى يتمكن المستخدمون من سحب أموالهم هو الخيار الأخلاقي الصحيح.
في نهاية المطاف ، قد يكون جلب الأشخاص المناسبين إلى غرفة الحرب (دون لفت انتباه أصحاب القبعات السوداء المحتملين) مشكلة صعبة تتعلق بالدجاجة والبيضة. بعد حادث Curve ، قد يكون المجتمع قد طور حلاً ممكنًا.
أعلن الباحث الأمني النموذجي المجهول الغزير Samczsun عن إطلاق خدمة استجابة "تجريبية" للقبعة البيضاء تسمى SEAL 911. تهدف الخدمة ، المكونة من روبوتات Telegram ، إلى ربط الفرق التي تم اختراقها مؤخرًا بفريق من خبراء الأمن وقدامى المحاربين في غرفة الحرب. قال Storm ، وهو مساهم مجهول في Yearn و War Room منتظم ، لـ Blockworks في مقابلة أن الخدمة تهدف إلى حل نقطة الألم المتمثلة في ربطهم بخبراء على استعداد لمساعدة الفرق المتأثرة. Storm هو أيضًا عضو مفتوح في فريق SEAL 911.
كتب: "حتى ذلك الحين ، أنت بحاجة إلى أفراد أمن موثوق بهم على شبكتك في حالة وقوع حوادث أو حالات طوارئ ... نأمل أن يمنحك هذا خطًا ساخنًا بنقرة واحدة مع باحثين أمنيين ذوي خبرة يمكننا الوثوق بالاتصال بهم."
وفقًا لـ Storm ، تم استخدام الخدمة بالفعل لأن أعضاء بروتوكول Cypher القائم على Solana اتصلوا بأعضاء SEAL 911 يوم الاثنين ، بعد وقت قصير من الإعلان عن الخدمة.
علاوة على ذلك ، يصل SEAL 911 في وقت من المحتمل أن تكون فيه استجابة القبعة البيضاء في أعلى مستوى من الكفاءة. كان المفاوضون يؤمنون عودة الأموال من الاختراق منذ اختراق أويلر.
في 30 يوليو ، تم سحب 71 مليون دولار من مجمع التعدين Curve. وحتى الآن ، تم استرداد 75٪ من المبلغ من خلال عمليات ومفاوضات القبعة البيضاء. لا يزال يمتلك مستغل واحد فقط الأموال - وحتى أنهم يواجهون ضغوطًا متزايدة في شكل مكافآت مجتمعية.
قد لا يقدم ذلك الكثير من العزاء للمدخرين الذين شعروا بأنهم محاصرون في أسوأ لحظة للاختراق. ولكن بين تحسينات البروتوكول ولحظة التضامن داخل مجتمع الأمن ، يبدو أن نظام DeFi البيئي بعد هجوم Curve يبدو أكثر صحة من ذي قبل.