Autor: Andrew Thurman, blockworks Compilador: Shan Ouba, Jinse Finance
Mercados de préstamos más inteligentes y equipos de sombrero blanco receptivos mejoran la brecha de seguridad posterior a la curva de DeFi
El pirateo de Curve apenas se ubicó entre los 30 primeros de todos los tiempos, según la Tabla de clasificación global de pérdida de explotación de Rekt, aunque antes de que los sombreros blancos y una coalición de expertos en seguridad lograran recuperar algunos de los fondos robados. Esto es aún más preocupante para la mayoría de los observadores. En primer lugar, Curve es un protocolo de liquidez bien conocido y una parte vital del sistema de monedas estables.
El domingo 30 de julio, el equipo de Curve dijo al menos dos veces que había mitigado el impacto del hackeo, pero otro ataque que causó daños por millones de dólares sin duda causará inquietud.
El daño al protocolo por el ataque podría ser una consecuencia preocupante luego de las diversas posturas de DeFi expresadas por el fundador de Curve, Michael Egorov.
Antes del hackeo, los préstamos por valor de más de 110 millones de dólares eran repentinamente vulnerables porque estaban respaldados por el token de gobernanza (CRV) de Curve y los tokens de recompensa, que ya se habían visto muy afectados. Los propios informes de noticias se centraron en analizar las posibles consecuencias de la liquidación, en particular la posibilidad de que Aave pudiera ser una víctima.
Eventualmente, sin embargo, un grupo fuerte (aunque quizás improbable) de compradores intervino. Compraron CRV en una transacción fuera del mercado, lo que permitió a Egorov reequilibrar y pagar la enorme deuda. Al momento de escribir este artículo, su dirección principal tiene poco más de $ 50 millones en deuda de moneda estable, con otros $ 18 millones en CRV al contado disponibles para su implementación.
Desde que se grabó el podcast, la salud de la posición de Egorov ha mejorado, más fondos han regresado al protocolo y Alchemix en particular se ha recuperado por completo.
Por lo tanto, me gustaría agregar que la respuesta de la comunidad a las mitigaciones de pirateo y piratería parece estar en un nuevo pico y, con suerte, este estándar de excelencia continuará.
De hecho, si bien algunos pueden acusarme de ser demasiado idealista sobre el truco de Curve a medida que se asienta el polvo, existe un consenso cada vez mayor de que, a pesar de los múltiples ataques exitosos en uno de los productos emblemáticos del ecosistema, el ataque, pero DeFi se volverá más resistente. Esto puede ser un acuerdo contradictorio.
Previamente analicé cómo conceptualizamos el impacto de este truco a lo largo del tiempo en una edición del podcast Empire de Blockworks. En mi opinión, recordaremos esto por su impacto en la forma en que el mercado de préstamos maneja el riesgo, no solo por el monto en dólares perdido.
Ajuste del mercado de préstamos
A raíz de la infracción, el protocolo de préstamo enfrentó una pregunta constante: ¿por qué se permitió que la posición de Michael Egorov se volviera tan grande y potencialmente riesgosa? Y la pregunta más importante es: ¿quién debe rendir cuentas?
El fundador de Euler, Michael Bently, dijo en Twitter que el incidente es un ejemplo de por qué las DAO, formadas por grupos potencialmente inmaduros, pueden no ser la mejor opción cuando se trata de gestión de riesgos. De hecho, Aave DAO, que contrató a la empresa de modelización de riesgos Gauntlet, pareció haber ignorado las advertencias de los evaluadores de riesgos antes de la crisis de junio. En última instancia, la DAO decidió mantener el parámetro Aave v2 CRV.
Sin embargo, Ivan Ngmi, colaborador anónimo de Gearbox DAO, dijo en una entrevista con Blockworks que un sistema de gestión de riesgos puramente programático no es necesariamente la mejor opción debido al grado de interdependencia entre los diferentes protocolos y sus respectivos precios de token de gobernanza. Gearbox evitó por poco los efectos del pirateo del grupo de minería CRV/ETH durante unos días.
Escribió: "Cada protocolo tiene que pensar en otros protocolos, lo que permite posibles efectos en cascada. Si estos protocolos son anárquicos, no pueden cambiar nada, depende de los usuarios de estos protocolos".
La situación de CRV es algo especial. En este caso, los fundadores del protocolo controlan casi todos los tokens en circulación y hacen préstamos en varios lugares y usan esos tokens como garantía. La gobernanza puramente en cadena dificulta la detección o mitigación de esta situación.
Sin embargo, los sistemas pueden mejorarse incluso si no son perfectos. El fundador de la Iniciativa Aave-Chan, Marc Zeller, dijo en una entrevista con Blockworks que una nueva propuesta resolverá gradualmente el estado de Egorov en v2 dentro de "una cuarta parte".
"El proceso está en curso y la utilización del grupo CRV ha acelerado el progreso”, escribió. Además, un efecto secundario beneficioso del reequilibrio de posiciones de Egorov es que el valor total bloqueado (TVL) fluye de Aave v2, cuyos parámetros de riesgo no han aún se ha mitigado por completo, hasta el límite de préstamo, lo que puede limitar mejor el préstamo de los superusuarios en v3.
Zeller agregó: "En última instancia, el riesgo general de v2 ahora se reduce y la tasa de adopción de v3 aumenta, por lo que el efecto neto es positivo". Cuando fue contactado, Yegorov se negó a comentar, citando que su puesto estaba siendo administrado.
SELLO 911
El fenómeno de la "sala de guerra", en el que los miembros de la comunidad y los voluntarios trabajan con desarrolladores de protocolos pirateados para tratar de mitigar el impacto de una infracción, ha jugado un papel clave en muchas recuperaciones exitosas recientes. Sin embargo, tal esfuerzo puede estar plagado de complejidades.
Dos empresas de seguridad, Blocksec y Supremacy, han sido objeto de fuertes críticas en las redes sociales después de publicar detalles sobre el proceso de explotación de una vulnerabilidad del compilador Vyper. Robert Chen de OtterSec describió en una excelente publicación de blog cómo se frustraron dos operaciones de sombrero blanco diferentes en solo unos minutos. En este hackeo, donde las vulnerabilidades persistentes condujeron a múltiples ataques, la publicación de información sobre exploits podría haber brindado a los posibles atacantes información adicional que les permitiría superar los sombreros blancos, lo que provocaría más daños.
Sin embargo, simpatizo con Blocksec, que siente que, sin forma de ponerse en contacto con el equipo afectado, explicar la falla al público para que los usuarios puedan retirar sus fondos es la elección moral correcta.
En última instancia, traer a las personas adecuadas a la sala de guerra (sin llamar la atención de los aspirantes a sombreros negros) puede ser un problema complicado del huevo y la gallina. Después del incidente de Curve, es posible que la comunidad haya desarrollado una posible solución.
El prolífico investigador anónimo de seguridad de Paradigm, samczsun, ha anunciado el lanzamiento de un servicio de respuesta de sombrero blanco "experimental" llamado SEAL 911. El servicio, compuesto por bots de Telegram, tiene como objetivo conectar equipos recientemente pirateados con un equipo de expertos en seguridad y veteranos de la sala de guerra. Storm, un colaborador anónimo de Yearn y habitual de War Room, le dijo a Blockworks en una entrevista que el servicio tiene como objetivo resolver un punto crítico al conectarlos con expertos dispuestos a ayudar a los equipos afectados. Storm también es miembro abierto del equipo SEAL 911.
Escribió: "Hasta entonces, necesita personal de seguridad confiable en su red en caso de incidentes o emergencias... Con suerte, esto le brindará una línea directa con un solo clic con investigadores de seguridad experimentados en los que podemos confiar".
Según Storm, el servicio ya se usó porque los miembros del protocolo Cypher con sede en Solana contactaron a los miembros del SEAL 911 el lunes, poco después de que se anunciara el servicio.
Además, SEAL 911 llega en un momento en que es probable que la respuesta de sombrero blanco esté en su nivel más alto de eficiencia. Los negociadores han estado asegurando la devolución de los fondos de la brecha desde el hackeo de Euler.
El 30 de julio, se retiraron $71 millones del pool minero de Curve. Hasta el momento, el 75% del monto se ha recuperado a través de operaciones y negociaciones de sombrero blanco. Solo un explotador todavía tiene fondos, e incluso ellos enfrentan una presión cada vez mayor en forma de recompensas comunitarias.
Puede que eso no ofrezca mucho consuelo a los ahorradores que se sintieron atrapados en el peor momento del hackeo. Pero entre las mejoras del protocolo y un momento de solidaridad dentro de la comunidad de seguridad, el ecosistema DeFi después del ataque de Curve parece estar más saludable que antes.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
¿Qué sigue para DeFi después de la crisis de Curve?
Autor: Andrew Thurman, blockworks Compilador: Shan Ouba, Jinse Finance
Mercados de préstamos más inteligentes y equipos de sombrero blanco receptivos mejoran la brecha de seguridad posterior a la curva de DeFi
El pirateo de Curve apenas se ubicó entre los 30 primeros de todos los tiempos, según la Tabla de clasificación global de pérdida de explotación de Rekt, aunque antes de que los sombreros blancos y una coalición de expertos en seguridad lograran recuperar algunos de los fondos robados. Esto es aún más preocupante para la mayoría de los observadores. En primer lugar, Curve es un protocolo de liquidez bien conocido y una parte vital del sistema de monedas estables.
El domingo 30 de julio, el equipo de Curve dijo al menos dos veces que había mitigado el impacto del hackeo, pero otro ataque que causó daños por millones de dólares sin duda causará inquietud.
El daño al protocolo por el ataque podría ser una consecuencia preocupante luego de las diversas posturas de DeFi expresadas por el fundador de Curve, Michael Egorov.
Antes del hackeo, los préstamos por valor de más de 110 millones de dólares eran repentinamente vulnerables porque estaban respaldados por el token de gobernanza (CRV) de Curve y los tokens de recompensa, que ya se habían visto muy afectados. Los propios informes de noticias se centraron en analizar las posibles consecuencias de la liquidación, en particular la posibilidad de que Aave pudiera ser una víctima.
Eventualmente, sin embargo, un grupo fuerte (aunque quizás improbable) de compradores intervino. Compraron CRV en una transacción fuera del mercado, lo que permitió a Egorov reequilibrar y pagar la enorme deuda. Al momento de escribir este artículo, su dirección principal tiene poco más de $ 50 millones en deuda de moneda estable, con otros $ 18 millones en CRV al contado disponibles para su implementación.
Desde que se grabó el podcast, la salud de la posición de Egorov ha mejorado, más fondos han regresado al protocolo y Alchemix en particular se ha recuperado por completo.
Por lo tanto, me gustaría agregar que la respuesta de la comunidad a las mitigaciones de pirateo y piratería parece estar en un nuevo pico y, con suerte, este estándar de excelencia continuará.
De hecho, si bien algunos pueden acusarme de ser demasiado idealista sobre el truco de Curve a medida que se asienta el polvo, existe un consenso cada vez mayor de que, a pesar de los múltiples ataques exitosos en uno de los productos emblemáticos del ecosistema, el ataque, pero DeFi se volverá más resistente. Esto puede ser un acuerdo contradictorio.
Previamente analicé cómo conceptualizamos el impacto de este truco a lo largo del tiempo en una edición del podcast Empire de Blockworks. En mi opinión, recordaremos esto por su impacto en la forma en que el mercado de préstamos maneja el riesgo, no solo por el monto en dólares perdido.
Ajuste del mercado de préstamos
A raíz de la infracción, el protocolo de préstamo enfrentó una pregunta constante: ¿por qué se permitió que la posición de Michael Egorov se volviera tan grande y potencialmente riesgosa? Y la pregunta más importante es: ¿quién debe rendir cuentas?
El fundador de Euler, Michael Bently, dijo en Twitter que el incidente es un ejemplo de por qué las DAO, formadas por grupos potencialmente inmaduros, pueden no ser la mejor opción cuando se trata de gestión de riesgos. De hecho, Aave DAO, que contrató a la empresa de modelización de riesgos Gauntlet, pareció haber ignorado las advertencias de los evaluadores de riesgos antes de la crisis de junio. En última instancia, la DAO decidió mantener el parámetro Aave v2 CRV.
Sin embargo, Ivan Ngmi, colaborador anónimo de Gearbox DAO, dijo en una entrevista con Blockworks que un sistema de gestión de riesgos puramente programático no es necesariamente la mejor opción debido al grado de interdependencia entre los diferentes protocolos y sus respectivos precios de token de gobernanza. Gearbox evitó por poco los efectos del pirateo del grupo de minería CRV/ETH durante unos días.
Escribió: "Cada protocolo tiene que pensar en otros protocolos, lo que permite posibles efectos en cascada. Si estos protocolos son anárquicos, no pueden cambiar nada, depende de los usuarios de estos protocolos".
La situación de CRV es algo especial. En este caso, los fundadores del protocolo controlan casi todos los tokens en circulación y hacen préstamos en varios lugares y usan esos tokens como garantía. La gobernanza puramente en cadena dificulta la detección o mitigación de esta situación.
Sin embargo, los sistemas pueden mejorarse incluso si no son perfectos. El fundador de la Iniciativa Aave-Chan, Marc Zeller, dijo en una entrevista con Blockworks que una nueva propuesta resolverá gradualmente el estado de Egorov en v2 dentro de "una cuarta parte".
"El proceso está en curso y la utilización del grupo CRV ha acelerado el progreso”, escribió. Además, un efecto secundario beneficioso del reequilibrio de posiciones de Egorov es que el valor total bloqueado (TVL) fluye de Aave v2, cuyos parámetros de riesgo no han aún se ha mitigado por completo, hasta el límite de préstamo, lo que puede limitar mejor el préstamo de los superusuarios en v3.
Zeller agregó: "En última instancia, el riesgo general de v2 ahora se reduce y la tasa de adopción de v3 aumenta, por lo que el efecto neto es positivo". Cuando fue contactado, Yegorov se negó a comentar, citando que su puesto estaba siendo administrado.
SELLO 911
El fenómeno de la "sala de guerra", en el que los miembros de la comunidad y los voluntarios trabajan con desarrolladores de protocolos pirateados para tratar de mitigar el impacto de una infracción, ha jugado un papel clave en muchas recuperaciones exitosas recientes. Sin embargo, tal esfuerzo puede estar plagado de complejidades.
Dos empresas de seguridad, Blocksec y Supremacy, han sido objeto de fuertes críticas en las redes sociales después de publicar detalles sobre el proceso de explotación de una vulnerabilidad del compilador Vyper. Robert Chen de OtterSec describió en una excelente publicación de blog cómo se frustraron dos operaciones de sombrero blanco diferentes en solo unos minutos. En este hackeo, donde las vulnerabilidades persistentes condujeron a múltiples ataques, la publicación de información sobre exploits podría haber brindado a los posibles atacantes información adicional que les permitiría superar los sombreros blancos, lo que provocaría más daños.
Sin embargo, simpatizo con Blocksec, que siente que, sin forma de ponerse en contacto con el equipo afectado, explicar la falla al público para que los usuarios puedan retirar sus fondos es la elección moral correcta.
En última instancia, traer a las personas adecuadas a la sala de guerra (sin llamar la atención de los aspirantes a sombreros negros) puede ser un problema complicado del huevo y la gallina. Después del incidente de Curve, es posible que la comunidad haya desarrollado una posible solución.
El prolífico investigador anónimo de seguridad de Paradigm, samczsun, ha anunciado el lanzamiento de un servicio de respuesta de sombrero blanco "experimental" llamado SEAL 911. El servicio, compuesto por bots de Telegram, tiene como objetivo conectar equipos recientemente pirateados con un equipo de expertos en seguridad y veteranos de la sala de guerra. Storm, un colaborador anónimo de Yearn y habitual de War Room, le dijo a Blockworks en una entrevista que el servicio tiene como objetivo resolver un punto crítico al conectarlos con expertos dispuestos a ayudar a los equipos afectados. Storm también es miembro abierto del equipo SEAL 911.
Escribió: "Hasta entonces, necesita personal de seguridad confiable en su red en caso de incidentes o emergencias... Con suerte, esto le brindará una línea directa con un solo clic con investigadores de seguridad experimentados en los que podemos confiar".
Según Storm, el servicio ya se usó porque los miembros del protocolo Cypher con sede en Solana contactaron a los miembros del SEAL 911 el lunes, poco después de que se anunciara el servicio.
Además, SEAL 911 llega en un momento en que es probable que la respuesta de sombrero blanco esté en su nivel más alto de eficiencia. Los negociadores han estado asegurando la devolución de los fondos de la brecha desde el hackeo de Euler.
El 30 de julio, se retiraron $71 millones del pool minero de Curve. Hasta el momento, el 75% del monto se ha recuperado a través de operaciones y negociaciones de sombrero blanco. Solo un explotador todavía tiene fondos, e incluso ellos enfrentan una presión cada vez mayor en forma de recompensas comunitarias.
Puede que eso no ofrezca mucho consuelo a los ahorradores que se sintieron atrapados en el peor momento del hackeo. Pero entre las mejoras del protocolo y un momento de solidaridad dentro de la comunidad de seguridad, el ecosistema DeFi después del ataque de Curve parece estar más saludable que antes.