Что ждет DeFi после кризиса Curve?

Автор: Эндрю Турман, blockworks Составитель: Shan Ouba, Jinse Finance

Более разумные рынки кредитования и отзывчивые белые команды улучшают безопасность DeFi после взлома

Согласно рейтингу Global Exploit Loss Leaderboard компании Rekt, взлом Curve едва попал в топ-30 за все время, хотя до этого белым шляпам и коалиции экспертов по безопасности удалось вернуть часть украденных средств. Это тем более беспокоит большинство наблюдателей. Во-первых, Curve — это хорошо известный протокол ликвидности и жизненно важная часть системы стейблкоинов.

В воскресенье, 30 июля, команда Curve по крайней мере дважды заявила, что смягчила последствия взлома, но еще одна атака, которая нанесла ущерб на миллионы долларов, несомненно, вызовет беспокойство.

Ущерб протоколу от атаки может стать тревожным последствием различных позиций DeFi, высказанных основателем Curve Михаилом Егоровым.

До взлома кредиты на сумму более 110 миллионов долларов внезапно оказались уязвимыми, потому что они были обеспечены токеном управления Curve (CRV) и токенами вознаграждения, которые уже сильно пострадали. Сами новостные сообщения были сосредоточены на анализе возможных последствий ликвидации, в частности на возможности того, что Ааве может стать жертвой.

В конце концов, однако, вмешалась сильная (хотя, возможно, маловероятная) группа покупателей. Они купили CRV по внебиржевой сделке, что позволило Егорову ребалансировать и погасить огромный долг. На момент написания этой статьи его основной адрес имеет долг в стейблкоинах чуть более 50 миллионов долларов, а еще 18 миллионов долларов в спотовом CRV доступны для развертывания.

С момента записи подкаста состояние здоровья Егорова улучшилось, больше средств утекло обратно в протокол, и, в частности, Alchemix полностью выздоровел.

Поэтому я хотел бы добавить, что реакция сообщества на хакерские атаки и средства защиты от хакерских атак, кажется, находится на новом пике, и, надеюсь, этот стандарт качества сохранится.

Действительно, хотя некоторые могут обвинить меня в слишком идеалистическом отношении к взлому Curve по мере того, как пыль уляжется, растет консенсус в отношении того, что, несмотря на многочисленные успешные атаки на один из флагманских продуктов экосистемы, атака DeFi станет более устойчивой. Это может быть противоречивое соглашение.

Ранее я рассказывал о том, как мы концептуализировали влияние этого взлома с течением времени, в выпуске подкаста Blockworks Empire. На мой взгляд, мы запомним это из-за его влияния на то, как кредитный рынок справляется с рисками, а не только из-за потерянной суммы в долларах.

Корректировка кредитного рынка

После взлома протокол кредитования столкнулся с постоянным вопросом: почему позиция Михаила Егорова позволила стать такой крупной и потенциально рискованной? И еще более важный вопрос: кто должен нести ответственность?

Основатель Euler Майкл Бентли заявил в Твиттере, что этот инцидент является примером того, почему DAO, состоящие из потенциально незрелых групп, могут быть не лучшим выбором, когда речь идет об управлении рисками. Фактически, Aave DAO, которая заключила контракт с фирмой по моделированию рисков Gauntlet, похоже, проигнорировала предупреждения экспертов по оценке рисков накануне кризиса в июне. В конечном итоге DAO решило сохранить параметр Aave v2 CRV.

P6BsNFa8KaCVZfRMWay4s93l3ywWbqhB9CLgLMSU.png

Однако Иван Нгми, анонимный участник Gearbox DAO, сказал в интервью Blockworks, что чисто программная система управления рисками не обязательно является лучшим вариантом из-за степени взаимозависимости между различными протоколами и соответствующими ценами на токены управления. Gearbox чудом избежала последствий взлома майнингового пула CRV/ETH в течение нескольких дней.

Он писал: "Каждый протокол должен думать о других протоколах, учитывая возможные каскадные эффекты. Если эти протоколы анархичны, они ничего не могут изменить, это зависит от пользователей этих протоколов".

Ситуация с CRV несколько особенная. В этом случае основатели протокола контролируют почти все токены в обращении, выдают кредиты в нескольких местах и используют эти токены в качестве залога. Чисто внутрисетевое управление затрудняет обнаружение или смягчение этой ситуации.

Однако системы можно улучшить, даже если они несовершенны. Основатель инициативы Aave-Chan Марк Зеллер сказал в интервью Blockworks, что новое предложение постепенно разрешит статус Егорова во второй версии в течение «четверти».

«Процесс продолжается, и использование пула CRV ускорило прогресс», — написал он.Более того, полезным побочным эффектом ребалансировки позиций Егорова является то, что общая заблокированная стоимость (TVL) вытекает из Aave v2, параметры риска которого не изменились. но полностью уменьшен до предела заимствования, который может лучше ограничить заимствование суперпользователями в версии 3.

Зеллер добавил: «В конечном счете, общий риск версии 2 теперь снижен, а скорость принятия версии 3 увеличена, поэтому чистый эффект положительный». Когда с ним связались, Егоров отказался от комментариев, сославшись на то, что его должность управляется.

УПЛОТНЕНИЕ 911

Феномен «военной комнаты», в котором члены сообщества и волонтеры работают с разработчиками взломанного протокола, чтобы попытаться смягчить последствия взлома, сыграл ключевую роль во многих недавних успешных восстановлениях. Однако такие усилия могут быть сопряжены со сложностями.

Две фирмы по обеспечению безопасности, Blocksec и Supremacy, подверглись резкой критике в социальных сетях после публикации подробностей о процессе использования уязвимости компилятора Vyper. Роберт Чен из OtterSec описал в отличном сообщении в блоге, как две разные операции белых шляп были сорваны всего за несколько минут. В этом взломе, где постоянные уязвимости привели к множественным атакам, публикация информации об эксплойтах могла дать потенциальным злоумышленникам дополнительную информацию, которая позволила бы им обойти белые шляпы, что привело бы к дальнейшему ущербу.

Тем не менее, я сочувствую Blocksec, которые считают, что без возможности связаться с пострадавшей командой объяснение недостатка общественности, чтобы пользователи могли вывести свои средства, является правильным моральным выбором.

В конечном счете, привлечение нужных людей в военный штаб (не привлекая внимания потенциальных черных шляп) может оказаться сложной проблемой курицы и яйца. После инцидента с Curve сообщество, возможно, разработало возможное решение.

Известный анонимный исследователь Paradigm в области безопасности samczsun объявил о запуске «экспериментальной» службы реагирования в белых шляпах под названием SEAL 911. Сервис, состоящий из ботов Telegram, призван связать недавно взломанные команды с командой экспертов по безопасности и ветеранов боевых действий. Шторм, анонимный участник Yearn и постоянный участник War Room, сказал Blockworks в интервью, что сервис направлен на решение проблемы, связанной с подключением их к экспертам, готовым помочь пострадавшим командам. Шторм также является открытым членом команды SEAL 911.

Он написал: «А пока вам нужны надежные специалисты по безопасности в вашей сети на случай инцидентов или чрезвычайных ситуаций… Надеюсь, это даст вам горячую линию одним щелчком мыши с опытными исследователями безопасности, которым мы можем доверять».

По словам Шторма, сервис уже использовался, потому что члены протокола Cypher, основанного на Солане, связались с членами SEAL 911 в понедельник, вскоре после объявления об услуге.

Более того, SEAL 911 прибывает в то время, когда реакция белых шляп, вероятно, будет на самом высоком уровне эффективности. Переговорщики добивались возврата средств от взлома после взлома Эйлера.

30 июля из майнинг-пула Curve был выведен 71 миллион долларов. На данный момент 75% суммы было возвращено в результате операций и переговоров в белых шляпах. Только один эксплуататор все еще удерживает средства, и даже они сталкиваются с растущим давлением в виде вознаграждений сообщества.

Это может не сильно утешить вкладчиков, которые чувствовали себя в ловушке в самый неподходящий момент взлома. Но благодаря улучшениям протокола и моменту солидарности в сообществе безопасности экосистема DeFi после атаки Curve кажется более здоровой, чем раньше.

Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
  • Награда
  • комментарий
  • Репост
  • Поделиться
комментарий
0/400
Нет комментариев
  • Закрепить