Розумніші ринки кредитування та оперативні команди White Hat покращують безпеку DeFi після порушення кривої
Злом Curve ледве потрапив до 30 найкращих за весь час, згідно з рейтингом Global Exploit Loss Leaderboard Rekt, хоча до того, як білим капелюхам і коаліції експертів з безпеки вдалося повернути частину вкрадених коштів. Це ще більше тривожить більшість спостерігачів. Перш за все, Curve — це добре відомий протокол ліквідності та важлива частина системи стейблкойнів.
У неділю, 30 липня, команда Curve принаймні двічі заявила, що пом’якшила наслідки злому, але інша атака, яка завдала збитків на мільйони доларів, безсумнівно, викличе занепокоєння.
Пошкодження протоколу в результаті атаки може викликати занепокоєння після різних позицій DeFi, висловлених засновником Curve Майклом Єгоровим.
До злому кредити на суму понад 110 мільйонів доларів раптово виявилися вразливими, оскільки вони були забезпечені маркером управління Curve (CRV) і токенами винагороди, які вже сильно постраждали. Самі новини зосереджувалися на аналізі можливих наслідків ліквідації, зокрема ймовірності того, що Ааве міг стати жертвою.
Згодом, однак, втрутилася сильна (хоча, можливо, малоймовірна) група покупців. Вони купили CRV у позаринковій угоді, що дозволило Єгорову відновити баланс і погасити величезний борг. На момент написання цієї статті за його основною адресою борг у стейблкойнах склав трохи більше 50 мільйонів доларів США, а ще 18 мільйонів доларів спот CRV доступний для розгортання.
Після того, як подкаст був записаний, стан здоров’я Єгорова покращився, більше коштів повернулося в протокол, і Alchemix, зокрема, повністю одужав.
Тож я хотів би додати, що реакція спільноти на хакерство та засоби пом’якшення хакерства досягла нового піку, і, сподіваюся, цей стандарт досконалості продовжуватиметься.
Дійсно, хоча дехто може звинуватити мене в надто ідеалістичному ставленні до злому Curve, поки пил вляжеться, зростає консенсус, що незважаючи на численні успішні атаки на один із флагманських продуктів екосистеми, атака, але DeFi стане стійкішим. Це може бути суперечлива угода.
Раніше я зважив, як ми концептуалізували вплив цього злому з часом у випуску подкасту Blockworks Empire. На мою думку, ми запам’ятаємо це через його вплив на те, як ринок позик обробляє ризики, а не лише через втрату суми в доларах.
Регулювання позикового ринку
У результаті порушення протокол кредитування зіткнувся з постійним питанням: чому позиція Майкла Єгорова дозволила стати настільки великою та потенційно ризикованою? І ще важливіше питання: хто має нести відповідальність?
Засновник Euler Майкл Бентлі написав у Twitter, що цей інцидент є прикладом того, чому DAO, які складаються з потенційно незрілих груп, можуть бути не найкращим вибором, коли справа стосується управління ризиками. Насправді Aave DAO, яка уклала контракт з фірмою моделювання ризиків Gauntlet, здається, проігнорувала попередження експертів з оцінки ризиків перед кризою в червні. Зрештою DAO вирішив зберегти параметр Aave v2 CRV.
Однак Іван Нгмі, анонімний учасник Gearbox DAO, сказав в інтерв’ю Blockworks, що суто програмна система управління ризиками не обов’язково є найкращим варіантом через ступінь взаємозалежності між різними протоколами та відповідними цінами на токени управління. Gearbox ледь уникнув наслідків злому майнінгового пулу CRV/ETH протягом кількох днів.
Він написав: "Кожен протокол повинен думати про інші протоколи, враховуючи можливі каскадні ефекти. Якщо ці протоколи анархічні, вони не можуть нічого змінити, це залежить від користувачів цих протоколів".
Ситуація CRV дещо особлива. У цьому випадку засновники протоколу контролюють майже всі токени в обігу, надають позики в багатьох місцях і використовують ці токени як заставу. Суто мережеве управління ускладнює виявлення або пом’якшення цієї ситуації.
Однак системи можна покращити, навіть якщо вони не ідеальні. Засновник Aave-Chan Initiative Марк Зеллер сказав в інтерв’ю Blockworks, що нова пропозиція поступово вирішить статус Єгорова у v2 протягом «чверті».
«Процес триває, і використання пулу CRV прискорило прогрес», — написав він.Крім того, корисним побічним ефектом перебалансування позицій Єгорова є те, що блокування загальної вартості (TVL) надходить із Aave v2, параметри ризику якого не але було повністю пом’якшено, щоб обмеження запозичень, яке може краще обмежити запозичення суперкористувачів у v3.
Зеллер додав: «Зрештою, загальний ризик версії 2 тепер зменшений, а швидкість впровадження версії 3 зросла, тож чистий ефект є позитивним.» На ринку управління ризиками здійснюється інакше. Коли Єгоров звернувся до нього, він відмовився від коментарів, посилаючись на те, що його посада керована.
ПЕЧАТКА 911
Феномен «військової кімнати», коли члени спільноти та волонтери працюють із розробниками зламаних протоколів, щоб спробувати пом’якшити вплив зламу, відіграв ключову роль у багатьох нещодавніх успішних відновленнях. Однак така спроба може бути пов’язана зі складнощами.
Дві фірми безпеки, Blocksec і Supremacy, зазнали жорсткої критики в соціальних мережах після публікації подробиць про процес використання вразливості компілятора Vyper. Роберт Чен з OtterSec описав у чудовій публікації в блозі, як дві різні операції білого капелюха були зірвані всього за кілька хвилин. У цьому зломі, де постійні вразливості призвели до численних атак, публікація інформації про експлойти могла дати потенційним зловмисникам додаткову інформацію, яка дозволила б їм обійти «білих капелюхів», що призвело б до подальших збитків.
Однак я співчуваю Blocksec, який вважає, що, не маючи можливості зв’язатися з постраждалою командою, пояснити недолік громадськості, щоб користувачі могли зняти свої кошти, є правильним моральним вибором.
Зрештою, залучити потрібних людей у бойову кімнату (не привертаючи уваги потенційних чорних капелюхів) може бути складною проблемою курки та яйця. Після інциденту з Curve спільнота могла розробити можливе рішення.
Плідний анонімний дослідник безпеки Paradigm samczsun оголосив про запуск «експериментальної» служби відповіді під назвою SEAL 911. Сервіс, що складається з ботів Telegram, має на меті з’єднати нещодавно зламані команди з командою експертів із безпеки та ветеранів війни. Storm, анонімний учасник Yearn і постійний учасник War Room, сказав Blockworks в інтерв’ю, що сервіс має на меті вирішити проблему зв’язку з експертами, готовими допомогти постраждалим командам. Шторм також є відкритим членом команди SEAL 911.
Він написав: «До тих пір вам потрібен надійний персонал служби безпеки у вашій мережі на випадок інцидентів або надзвичайних ситуацій... Сподіваюся, це дасть вам гарячу лінію в один клік з досвідченими дослідниками безпеки, яким ми можемо довіряти підключення».
За словами Storm, послуга вже використовувалася, оскільки учасники протоколу Cypher на базі Solana зв’язалися з членами SEAL 911 у понеділок, незабаром після анонсу послуги.
Більше того, SEAL 911 прибуває в той час, коли реакція білого капелюха, ймовірно, буде на найвищому рівні ефективності. Учасники переговорів забезпечували повернення коштів від злому з моменту злому Euler.
30 липня з майнінг-пулу Curve було виведено 71 мільйон доларів. На даний момент 75% суми повернуто за допомогою операцій і переговорів. Лише один експлуататор все ще володіє коштами - і навіть вони стикаються з дедалі більшим тиском у вигляді винагород від спільноти.
Можливо, це не надто втішить тих, хто заощаджував, які відчули себе в пастці в найгірший момент злому. Але попри вдосконалення протоколу та момент солідарності всередині спільноти безпеки, екосистема DeFi після атаки Curve виглядає здоровішою, ніж раніше.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Що буде на DeFi після кризи Curve?
Автор: Ендрю Турман, blockworks Упорядник: Shan Ouba, Jinse Finance
Розумніші ринки кредитування та оперативні команди White Hat покращують безпеку DeFi після порушення кривої
Злом Curve ледве потрапив до 30 найкращих за весь час, згідно з рейтингом Global Exploit Loss Leaderboard Rekt, хоча до того, як білим капелюхам і коаліції експертів з безпеки вдалося повернути частину вкрадених коштів. Це ще більше тривожить більшість спостерігачів. Перш за все, Curve — це добре відомий протокол ліквідності та важлива частина системи стейблкойнів.
У неділю, 30 липня, команда Curve принаймні двічі заявила, що пом’якшила наслідки злому, але інша атака, яка завдала збитків на мільйони доларів, безсумнівно, викличе занепокоєння.
Пошкодження протоколу в результаті атаки може викликати занепокоєння після різних позицій DeFi, висловлених засновником Curve Майклом Єгоровим.
До злому кредити на суму понад 110 мільйонів доларів раптово виявилися вразливими, оскільки вони були забезпечені маркером управління Curve (CRV) і токенами винагороди, які вже сильно постраждали. Самі новини зосереджувалися на аналізі можливих наслідків ліквідації, зокрема ймовірності того, що Ааве міг стати жертвою.
Згодом, однак, втрутилася сильна (хоча, можливо, малоймовірна) група покупців. Вони купили CRV у позаринковій угоді, що дозволило Єгорову відновити баланс і погасити величезний борг. На момент написання цієї статті за його основною адресою борг у стейблкойнах склав трохи більше 50 мільйонів доларів США, а ще 18 мільйонів доларів спот CRV доступний для розгортання.
Після того, як подкаст був записаний, стан здоров’я Єгорова покращився, більше коштів повернулося в протокол, і Alchemix, зокрема, повністю одужав.
Тож я хотів би додати, що реакція спільноти на хакерство та засоби пом’якшення хакерства досягла нового піку, і, сподіваюся, цей стандарт досконалості продовжуватиметься.
Дійсно, хоча дехто може звинуватити мене в надто ідеалістичному ставленні до злому Curve, поки пил вляжеться, зростає консенсус, що незважаючи на численні успішні атаки на один із флагманських продуктів екосистеми, атака, але DeFi стане стійкішим. Це може бути суперечлива угода.
Раніше я зважив, як ми концептуалізували вплив цього злому з часом у випуску подкасту Blockworks Empire. На мою думку, ми запам’ятаємо це через його вплив на те, як ринок позик обробляє ризики, а не лише через втрату суми в доларах.
Регулювання позикового ринку
У результаті порушення протокол кредитування зіткнувся з постійним питанням: чому позиція Майкла Єгорова дозволила стати настільки великою та потенційно ризикованою? І ще важливіше питання: хто має нести відповідальність?
Засновник Euler Майкл Бентлі написав у Twitter, що цей інцидент є прикладом того, чому DAO, які складаються з потенційно незрілих груп, можуть бути не найкращим вибором, коли справа стосується управління ризиками. Насправді Aave DAO, яка уклала контракт з фірмою моделювання ризиків Gauntlet, здається, проігнорувала попередження експертів з оцінки ризиків перед кризою в червні. Зрештою DAO вирішив зберегти параметр Aave v2 CRV.
Однак Іван Нгмі, анонімний учасник Gearbox DAO, сказав в інтерв’ю Blockworks, що суто програмна система управління ризиками не обов’язково є найкращим варіантом через ступінь взаємозалежності між різними протоколами та відповідними цінами на токени управління. Gearbox ледь уникнув наслідків злому майнінгового пулу CRV/ETH протягом кількох днів.
Він написав: "Кожен протокол повинен думати про інші протоколи, враховуючи можливі каскадні ефекти. Якщо ці протоколи анархічні, вони не можуть нічого змінити, це залежить від користувачів цих протоколів".
Ситуація CRV дещо особлива. У цьому випадку засновники протоколу контролюють майже всі токени в обігу, надають позики в багатьох місцях і використовують ці токени як заставу. Суто мережеве управління ускладнює виявлення або пом’якшення цієї ситуації.
Однак системи можна покращити, навіть якщо вони не ідеальні. Засновник Aave-Chan Initiative Марк Зеллер сказав в інтерв’ю Blockworks, що нова пропозиція поступово вирішить статус Єгорова у v2 протягом «чверті».
«Процес триває, і використання пулу CRV прискорило прогрес», — написав він.Крім того, корисним побічним ефектом перебалансування позицій Єгорова є те, що блокування загальної вартості (TVL) надходить із Aave v2, параметри ризику якого не але було повністю пом’якшено, щоб обмеження запозичень, яке може краще обмежити запозичення суперкористувачів у v3.
Зеллер додав: «Зрештою, загальний ризик версії 2 тепер зменшений, а швидкість впровадження версії 3 зросла, тож чистий ефект є позитивним.» На ринку управління ризиками здійснюється інакше. Коли Єгоров звернувся до нього, він відмовився від коментарів, посилаючись на те, що його посада керована.
ПЕЧАТКА 911
Феномен «військової кімнати», коли члени спільноти та волонтери працюють із розробниками зламаних протоколів, щоб спробувати пом’якшити вплив зламу, відіграв ключову роль у багатьох нещодавніх успішних відновленнях. Однак така спроба може бути пов’язана зі складнощами.
Дві фірми безпеки, Blocksec і Supremacy, зазнали жорсткої критики в соціальних мережах після публікації подробиць про процес використання вразливості компілятора Vyper. Роберт Чен з OtterSec описав у чудовій публікації в блозі, як дві різні операції білого капелюха були зірвані всього за кілька хвилин. У цьому зломі, де постійні вразливості призвели до численних атак, публікація інформації про експлойти могла дати потенційним зловмисникам додаткову інформацію, яка дозволила б їм обійти «білих капелюхів», що призвело б до подальших збитків.
Однак я співчуваю Blocksec, який вважає, що, не маючи можливості зв’язатися з постраждалою командою, пояснити недолік громадськості, щоб користувачі могли зняти свої кошти, є правильним моральним вибором.
Зрештою, залучити потрібних людей у бойову кімнату (не привертаючи уваги потенційних чорних капелюхів) може бути складною проблемою курки та яйця. Після інциденту з Curve спільнота могла розробити можливе рішення.
Плідний анонімний дослідник безпеки Paradigm samczsun оголосив про запуск «експериментальної» служби відповіді під назвою SEAL 911. Сервіс, що складається з ботів Telegram, має на меті з’єднати нещодавно зламані команди з командою експертів із безпеки та ветеранів війни. Storm, анонімний учасник Yearn і постійний учасник War Room, сказав Blockworks в інтерв’ю, що сервіс має на меті вирішити проблему зв’язку з експертами, готовими допомогти постраждалим командам. Шторм також є відкритим членом команди SEAL 911.
Він написав: «До тих пір вам потрібен надійний персонал служби безпеки у вашій мережі на випадок інцидентів або надзвичайних ситуацій... Сподіваюся, це дасть вам гарячу лінію в один клік з досвідченими дослідниками безпеки, яким ми можемо довіряти підключення».
За словами Storm, послуга вже використовувалася, оскільки учасники протоколу Cypher на базі Solana зв’язалися з членами SEAL 911 у понеділок, незабаром після анонсу послуги.
Більше того, SEAL 911 прибуває в той час, коли реакція білого капелюха, ймовірно, буде на найвищому рівні ефективності. Учасники переговорів забезпечували повернення коштів від злому з моменту злому Euler.
30 липня з майнінг-пулу Curve було виведено 71 мільйон доларів. На даний момент 75% суми повернуто за допомогою операцій і переговорів. Лише один експлуататор все ще володіє коштами - і навіть вони стикаються з дедалі більшим тиском у вигляді винагород від спільноти.
Можливо, це не надто втішить тих, хто заощаджував, які відчули себе в пастці в найгірший момент злому. Але попри вдосконалення протоколу та момент солідарності всередині спільноти безпеки, екосистема DeFi після атаки Curve виглядає здоровішою, ніж раніше.