Yazar: Andrew Thurman, blok işleri Derleyen: Shan Ouba, Jinse Finance
Daha Akıllı Borç Verme Piyasaları ve Duyarlı Beyaz Şapka Ekipleri, DeFi'nin Eğri Sonrası İhlalinin Güvenliğini İyileştiriyor
Rekt'in Global Exploit Loss Leaderboard'una göre, Curve hack'i tüm zamanların ilk 30'u arasına ancak beyaz şapkalar ve güvenlik uzmanlarından oluşan bir koalisyon çalınan fonların bir kısmını kurtarmayı başardı. Bu, çoğu gözlemci için daha da endişe verici. Her şeyden önce Curve, iyi bilinen bir likidite protokolüdür ve stablecoin sisteminin hayati bir parçasıdır.
30 Temmuz Pazar günü Curve ekibi, en az iki kez hack'in etkisini azalttığını ancak milyonlarca dolar zarara yol açan başka bir saldırının şüphesiz tedirginlik yaratacağını söyledi.
Saldırının protokole verdiği zarar, Curve kurucusu Michael Egorov tarafından ifade edilen çeşitli DeFi duruşlarının ardından endişe verici bir yan etki olabilir.
Saldırıdan önce, değeri 110 milyon doları aşan krediler, Curve'ün yönetişim belirteci (CRV) ve zaten sert darbe almış olan ödül belirteçleri tarafından desteklendikleri için aniden savunmasız hale geldi. Haberlerin kendileri, tasfiyenin olası etkilerini, özellikle de Aave'nin bir kurban olma olasılığını analiz etmeye odaklandı.
Ancak sonunda, güçlü (belki olası olmasa da) bir alıcı grubu devreye girdi. CRV'yi piyasa dışı bir işlemle satın alarak Egorov'un devasa borcu yeniden dengelemesine ve ödemesine izin verdiler. Bu yazı itibariyle, birincil adresinin 50 milyon doların biraz üzerinde stablecoin borcu var ve konuşlandırma için 18 milyon dolarlık spot CRV daha var.
Podcast kaydedildiğinden beri, Egorov'un konumu iyileşti, protokole daha fazla fon aktı ve özellikle Alchemix tamamen iyileşti.
Bu nedenle, topluluğun saldırılara ve saldırıların hafifletilmesine yönelik yanıtının yeni bir zirvede göründüğünü ve umarım bu mükemmellik standardının devam edeceğini eklemek isterim.
Gerçekten de, ortalık yatışırken bazıları beni Curve hack konusunda fazla idealist olmakla suçlasa da, ekosistemin amiral gemisi ürünlerinden birine yönelik çok sayıda başarılı saldırıya rağmen DeFi'nin daha dayanıklı hale geleceğine dair artan bir fikir birliği var. Bu çelişkili bir anlaşma olabilir.
Daha önce Blockworks'ün Empire podcast'inin bir baskısında bu hack'in zaman içindeki etkisini nasıl kavramsallaştırdığımıza değinmiştim. Benim görüşüme göre, bunu sadece kaybedilen dolar miktarı için değil, kredi piyasasının riski nasıl ele aldığı üzerindeki etkisiyle hatırlayacağız.
Kredi Piyasası Düzenlemesi
İhlalin ardından borç verme protokolü devam eden bir soruyla karşı karşıya kaldı: Michael Egorov'un pozisyonunun neden bu kadar büyük ve potansiyel olarak riskli olmasına izin verildi? Ve daha da önemli olan soru şu: Kim sorumlu tutulmalı?
Euler'in kurucusu Michael Bently, Twitter'da olayın, potansiyel olarak olgunlaşmamış bölgelerden oluşan DAO'ların risk yönetimi söz konusu olduğunda neden en iyi seçenek olmayabileceğinin bir örneği olduğunu söyledi. Aslında, risk modelleme firması Gauntlet ile sözleşme yapan Aave DAO, Haziran ayındaki kriz öncesinde risk değerlendiricilerinden gelen uyarıları görmezden gelmiş gibi görünüyordu. Nihayetinde DAO, Aave v2 CRV parametresini korumaya karar verdi.
Bununla birlikte, Gearbox DAO'ya anonim katkıda bulunan Ivan Ngmi, Blockworks ile yaptığı bir röportajda, tamamen programatik bir risk yönetim sisteminin, farklı protokoller arasındaki karşılıklı bağımlılık derecesi ve bunların ilgili yönetişim token fiyatları nedeniyle mutlaka en iyi seçenek olmadığını söyledi. Gearbox, birkaç gün boyunca CRV/ETH madencilik havuzu hackinin etkilerinden kıl payı kurtuldu.
Şöyle yazdı: "Her protokol, diğer protokolleri düşünmek zorunda, olası kademeli etkilere izin veriyor. Bu protokoller anarşik ise, hiçbir şeyi değiştiremezler, bu protokollerin kullanıcılarına kalmış."
CRV'nin durumu biraz özeldir. Bu durumda, protokol kurucuları dolaşımdaki tokenların neredeyse tamamını kontrol etmekte ve birden çok yerde kredi vermekte ve bu tokenleri teminat olarak kullanmaktadır. Tamamen zincir üstü yönetişim, bu durumu tespit etmeyi veya hafifletmeyi zorlaştırır.
Ancak sistemler mükemmel olmasa da geliştirilebilir. Aave-Chan Initiative'in kurucusu Marc Zeller, Blockworks ile yaptığı bir röportajda, yeni bir teklifin Egorov'un v2 durumunu "bir çeyrek" içinde kademeli olarak çözeceğini söyledi.
"Süreç devam ediyor ve CRV havuzunun kullanılması ilerlemeyi hızlandırdı" diye yazdı. Ayrıca, Egorov'un pozisyonları yeniden dengelemesinin yararlı bir yan etkisi de risk parametreleri henüz belirlenmemiş olan Aave v2'den kilitli toplam değerin (TVL) akmasıdır. ancak, süper kullanıcıların v3'te ödünç almasını daha iyi sınırlayabilen Ödünç alma sınırına kadar tamamen hafifletildi.
Zeller şunları ekledi: "Sonuçta, v2'nin genel riski artık azaldı ve v3'ün benimsenme oranı arttı, bu nedenle net etki olumlu." Pazarda, risk yönetimi farklı şekilde yapılıyor. Temasa geçildiğinde, Egorov, pozisyonunun yönetildiğini gerekçe göstererek yorum yapmaktan kaçındı.
MÜHÜR 911
Topluluk üyelerinin ve gönüllülerin, bir ihlalin etkisini hafifletmeye çalışmak için saldırıya uğramış protokol geliştiricileriyle birlikte çalıştığı "savaş odası" fenomeni, son zamanlarda yapılan birçok başarılı kurtarmada önemli bir rol oynadı. Bununla birlikte, böyle bir çaba karmaşıklıklarla dolu olabilir.
İki güvenlik şirketi, Blocksec ve Supremacy, bir Vyper derleyici güvenlik açığından yararlanma süreciyle ilgili ayrıntıları yayınladıktan sonra sosyal medyada ağır eleştirilere maruz kaldı. OtterSec'ten Robert Chen mükemmel bir blog gönderisinde iki farklı beyaz şapka operasyonunun sadece birkaç dakika içinde nasıl engellendiğini anlattı. Kalıcı güvenlik açıklarının birden fazla saldırıya yol açtığı bu saldırıda, açıklardan yararlanma hakkında bilgi yayınlamak, potansiyel saldırganlara beyaz şapkaları aşıp daha fazla hasara yol açacak ek bilgiler verebilirdi.
Bununla birlikte, etkilenen ekiple temasa geçmenin hiçbir yolu olmadığı için, kullanıcıların paralarını çekebilmeleri için kusuru halka açıklamanın doğru ahlaki seçim olduğunu düşünen Blocksec'e sempati duyuyorum.
Nihayetinde, doğru insanları savaş odasına getirmek (sözde siyah şapkalıların dikkatini çekmeden) çetrefilli bir tavuk-yumurta problemi olabilir. Curve olayından sonra topluluk olası bir çözüm geliştirmiş olabilir.
Üretken anonim Paradigma güvenlik araştırmacısı samczsun, SEAL 911 adlı "deneysel" beyaz şapka yanıt hizmetinin başlatıldığını duyurdu. Telegram botlarından oluşan hizmet, yakın zamanda saldırıya uğrayan ekiplerle güvenlik uzmanları ve savaş gazilerinden oluşan bir ekip arasında bağlantı kurmayı amaçlıyor. Anonim bir Yearn katılımcısı ve War Room müdavimi olan Storm, bir röportajda Blockworks'e, hizmetin onları etkilenen ekiplere yardım etmeye istekli uzmanlarla bağlantı kurarak sıkıntılı bir noktayı çözmeyi amaçladığını söyledi. Storm ayrıca SEAL 911 ekibinin açık bir üyesidir.
Şöyle yazdı: "O zamana kadar, olaylar veya acil durumlar için ağınızda güvenilir güvenlik personeline ihtiyacınız var... Umarım bu size, bağlanabileceğine güvenebileceğimiz deneyimli güvenlik araştırmacıları içeren tek tıklamalı bir yardım hattı sağlar."
Storm'a göre hizmet zaten kullanılıyor çünkü Solana tabanlı Cypher protokolünün üyeleri, hizmetin duyurulmasından kısa bir süre sonra Pazartesi günü SEAL 911 üyeleriyle iletişime geçti.
Dahası, SEAL 911, beyaz şapka yanıtının muhtemelen en yüksek verimlilik seviyesinde olduğu bir zamanda gelir. Müzakereciler, Euler hack'inden bu yana ihlalden elde edilen fonların iadesini güvence altına alıyor.
30 Temmuz'da Curve maden havuzundan 71 milyon dolar çekildi. Şu an itibariyle, miktarın %75'i beyaz şapka operasyonları ve müzakerelerle geri alındı. Yalnızca bir sömürücü hala fonları elinde tutuyor - ve onlar bile topluluk ödülleri şeklinde artan bir baskıyla karşı karşıya.
Bu, hack'in en kötü anında kapana kısılmış hisseden tasarruf sahiplerine fazla bir teselli sunmayabilir. Ancak protokol iyileştirmeleri ve güvenlik topluluğu içinde bir anlık dayanışma arasında, Eğri saldırısından sonraki DeFi ekosistemi eskisinden daha sağlıklı görünüyor.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Curve krizinden sonra DeFi için sırada ne var?
Yazar: Andrew Thurman, blok işleri Derleyen: Shan Ouba, Jinse Finance
Daha Akıllı Borç Verme Piyasaları ve Duyarlı Beyaz Şapka Ekipleri, DeFi'nin Eğri Sonrası İhlalinin Güvenliğini İyileştiriyor
Rekt'in Global Exploit Loss Leaderboard'una göre, Curve hack'i tüm zamanların ilk 30'u arasına ancak beyaz şapkalar ve güvenlik uzmanlarından oluşan bir koalisyon çalınan fonların bir kısmını kurtarmayı başardı. Bu, çoğu gözlemci için daha da endişe verici. Her şeyden önce Curve, iyi bilinen bir likidite protokolüdür ve stablecoin sisteminin hayati bir parçasıdır.
30 Temmuz Pazar günü Curve ekibi, en az iki kez hack'in etkisini azalttığını ancak milyonlarca dolar zarara yol açan başka bir saldırının şüphesiz tedirginlik yaratacağını söyledi.
Saldırının protokole verdiği zarar, Curve kurucusu Michael Egorov tarafından ifade edilen çeşitli DeFi duruşlarının ardından endişe verici bir yan etki olabilir.
Saldırıdan önce, değeri 110 milyon doları aşan krediler, Curve'ün yönetişim belirteci (CRV) ve zaten sert darbe almış olan ödül belirteçleri tarafından desteklendikleri için aniden savunmasız hale geldi. Haberlerin kendileri, tasfiyenin olası etkilerini, özellikle de Aave'nin bir kurban olma olasılığını analiz etmeye odaklandı.
Ancak sonunda, güçlü (belki olası olmasa da) bir alıcı grubu devreye girdi. CRV'yi piyasa dışı bir işlemle satın alarak Egorov'un devasa borcu yeniden dengelemesine ve ödemesine izin verdiler. Bu yazı itibariyle, birincil adresinin 50 milyon doların biraz üzerinde stablecoin borcu var ve konuşlandırma için 18 milyon dolarlık spot CRV daha var.
Podcast kaydedildiğinden beri, Egorov'un konumu iyileşti, protokole daha fazla fon aktı ve özellikle Alchemix tamamen iyileşti.
Bu nedenle, topluluğun saldırılara ve saldırıların hafifletilmesine yönelik yanıtının yeni bir zirvede göründüğünü ve umarım bu mükemmellik standardının devam edeceğini eklemek isterim.
Gerçekten de, ortalık yatışırken bazıları beni Curve hack konusunda fazla idealist olmakla suçlasa da, ekosistemin amiral gemisi ürünlerinden birine yönelik çok sayıda başarılı saldırıya rağmen DeFi'nin daha dayanıklı hale geleceğine dair artan bir fikir birliği var. Bu çelişkili bir anlaşma olabilir.
Daha önce Blockworks'ün Empire podcast'inin bir baskısında bu hack'in zaman içindeki etkisini nasıl kavramsallaştırdığımıza değinmiştim. Benim görüşüme göre, bunu sadece kaybedilen dolar miktarı için değil, kredi piyasasının riski nasıl ele aldığı üzerindeki etkisiyle hatırlayacağız.
Kredi Piyasası Düzenlemesi
İhlalin ardından borç verme protokolü devam eden bir soruyla karşı karşıya kaldı: Michael Egorov'un pozisyonunun neden bu kadar büyük ve potansiyel olarak riskli olmasına izin verildi? Ve daha da önemli olan soru şu: Kim sorumlu tutulmalı?
Euler'in kurucusu Michael Bently, Twitter'da olayın, potansiyel olarak olgunlaşmamış bölgelerden oluşan DAO'ların risk yönetimi söz konusu olduğunda neden en iyi seçenek olmayabileceğinin bir örneği olduğunu söyledi. Aslında, risk modelleme firması Gauntlet ile sözleşme yapan Aave DAO, Haziran ayındaki kriz öncesinde risk değerlendiricilerinden gelen uyarıları görmezden gelmiş gibi görünüyordu. Nihayetinde DAO, Aave v2 CRV parametresini korumaya karar verdi.
Bununla birlikte, Gearbox DAO'ya anonim katkıda bulunan Ivan Ngmi, Blockworks ile yaptığı bir röportajda, tamamen programatik bir risk yönetim sisteminin, farklı protokoller arasındaki karşılıklı bağımlılık derecesi ve bunların ilgili yönetişim token fiyatları nedeniyle mutlaka en iyi seçenek olmadığını söyledi. Gearbox, birkaç gün boyunca CRV/ETH madencilik havuzu hackinin etkilerinden kıl payı kurtuldu.
Şöyle yazdı: "Her protokol, diğer protokolleri düşünmek zorunda, olası kademeli etkilere izin veriyor. Bu protokoller anarşik ise, hiçbir şeyi değiştiremezler, bu protokollerin kullanıcılarına kalmış."
CRV'nin durumu biraz özeldir. Bu durumda, protokol kurucuları dolaşımdaki tokenların neredeyse tamamını kontrol etmekte ve birden çok yerde kredi vermekte ve bu tokenleri teminat olarak kullanmaktadır. Tamamen zincir üstü yönetişim, bu durumu tespit etmeyi veya hafifletmeyi zorlaştırır.
Ancak sistemler mükemmel olmasa da geliştirilebilir. Aave-Chan Initiative'in kurucusu Marc Zeller, Blockworks ile yaptığı bir röportajda, yeni bir teklifin Egorov'un v2 durumunu "bir çeyrek" içinde kademeli olarak çözeceğini söyledi.
"Süreç devam ediyor ve CRV havuzunun kullanılması ilerlemeyi hızlandırdı" diye yazdı. Ayrıca, Egorov'un pozisyonları yeniden dengelemesinin yararlı bir yan etkisi de risk parametreleri henüz belirlenmemiş olan Aave v2'den kilitli toplam değerin (TVL) akmasıdır. ancak, süper kullanıcıların v3'te ödünç almasını daha iyi sınırlayabilen Ödünç alma sınırına kadar tamamen hafifletildi.
Zeller şunları ekledi: "Sonuçta, v2'nin genel riski artık azaldı ve v3'ün benimsenme oranı arttı, bu nedenle net etki olumlu." Pazarda, risk yönetimi farklı şekilde yapılıyor. Temasa geçildiğinde, Egorov, pozisyonunun yönetildiğini gerekçe göstererek yorum yapmaktan kaçındı.
MÜHÜR 911
Topluluk üyelerinin ve gönüllülerin, bir ihlalin etkisini hafifletmeye çalışmak için saldırıya uğramış protokol geliştiricileriyle birlikte çalıştığı "savaş odası" fenomeni, son zamanlarda yapılan birçok başarılı kurtarmada önemli bir rol oynadı. Bununla birlikte, böyle bir çaba karmaşıklıklarla dolu olabilir.
İki güvenlik şirketi, Blocksec ve Supremacy, bir Vyper derleyici güvenlik açığından yararlanma süreciyle ilgili ayrıntıları yayınladıktan sonra sosyal medyada ağır eleştirilere maruz kaldı. OtterSec'ten Robert Chen mükemmel bir blog gönderisinde iki farklı beyaz şapka operasyonunun sadece birkaç dakika içinde nasıl engellendiğini anlattı. Kalıcı güvenlik açıklarının birden fazla saldırıya yol açtığı bu saldırıda, açıklardan yararlanma hakkında bilgi yayınlamak, potansiyel saldırganlara beyaz şapkaları aşıp daha fazla hasara yol açacak ek bilgiler verebilirdi.
Bununla birlikte, etkilenen ekiple temasa geçmenin hiçbir yolu olmadığı için, kullanıcıların paralarını çekebilmeleri için kusuru halka açıklamanın doğru ahlaki seçim olduğunu düşünen Blocksec'e sempati duyuyorum.
Nihayetinde, doğru insanları savaş odasına getirmek (sözde siyah şapkalıların dikkatini çekmeden) çetrefilli bir tavuk-yumurta problemi olabilir. Curve olayından sonra topluluk olası bir çözüm geliştirmiş olabilir.
Üretken anonim Paradigma güvenlik araştırmacısı samczsun, SEAL 911 adlı "deneysel" beyaz şapka yanıt hizmetinin başlatıldığını duyurdu. Telegram botlarından oluşan hizmet, yakın zamanda saldırıya uğrayan ekiplerle güvenlik uzmanları ve savaş gazilerinden oluşan bir ekip arasında bağlantı kurmayı amaçlıyor. Anonim bir Yearn katılımcısı ve War Room müdavimi olan Storm, bir röportajda Blockworks'e, hizmetin onları etkilenen ekiplere yardım etmeye istekli uzmanlarla bağlantı kurarak sıkıntılı bir noktayı çözmeyi amaçladığını söyledi. Storm ayrıca SEAL 911 ekibinin açık bir üyesidir.
Şöyle yazdı: "O zamana kadar, olaylar veya acil durumlar için ağınızda güvenilir güvenlik personeline ihtiyacınız var... Umarım bu size, bağlanabileceğine güvenebileceğimiz deneyimli güvenlik araştırmacıları içeren tek tıklamalı bir yardım hattı sağlar."
Storm'a göre hizmet zaten kullanılıyor çünkü Solana tabanlı Cypher protokolünün üyeleri, hizmetin duyurulmasından kısa bir süre sonra Pazartesi günü SEAL 911 üyeleriyle iletişime geçti.
Dahası, SEAL 911, beyaz şapka yanıtının muhtemelen en yüksek verimlilik seviyesinde olduğu bir zamanda gelir. Müzakereciler, Euler hack'inden bu yana ihlalden elde edilen fonların iadesini güvence altına alıyor.
30 Temmuz'da Curve maden havuzundan 71 milyon dolar çekildi. Şu an itibariyle, miktarın %75'i beyaz şapka operasyonları ve müzakerelerle geri alındı. Yalnızca bir sömürücü hala fonları elinde tutuyor - ve onlar bile topluluk ödülleri şeklinde artan bir baskıyla karşı karşıya.
Bu, hack'in en kötü anında kapana kısılmış hisseden tasarruf sahiplerine fazla bir teselli sunmayabilir. Ancak protokol iyileştirmeleri ve güvenlik topluluğu içinde bir anlık dayanışma arasında, Eğri saldırısından sonraki DeFi ekosistemi eskisinden daha sağlıklı görünüyor.