Tác giả: Andrew Thurman, blockworks Biên dịch: Shan Ouba, Jinse Finance
Thị trường cho vay thông minh hơn và các nhóm mũ trắng phản ứng nhanh cải thiện khả năng vi phạm bảo mật sau đường cong của DeFi
Vụ hack Curve hầu như không lọt vào top 30 mọi thời đại, theo Bảng xếp hạng tổn thất khai thác toàn cầu của Rekt, mặc dù trước đó mũ trắng và liên minh các chuyên gia bảo mật đã tìm cách lấy lại một số tiền bị đánh cắp. Điều này càng đáng lo ngại hơn đối với hầu hết các nhà quan sát. Trước hết, Curve là một giao thức thanh khoản nổi tiếng và là một phần quan trọng của hệ thống stablecoin.
Vào Chủ nhật, ngày 30 tháng 7, nhóm Curve đã nói ít nhất hai lần rằng họ đã giảm thiểu tác động của vụ hack, nhưng một cuộc tấn công khác gây thiệt hại hàng triệu đô la chắc chắn sẽ gây ra sự bất an.
Thiệt hại đối với giao thức do cuộc tấn công có thể là một hậu quả đáng lo ngại sau nhiều quan điểm DeFi khác nhau mà người sáng lập Curve, Michael Egorov, đã bày tỏ.
Trước vụ hack, các khoản vay trị giá hơn 110 triệu đô la đột nhiên dễ bị tổn thương vì chúng được hỗ trợ bởi mã thông báo quản trị của Curve (CRV) và mã thông báo phần thưởng, vốn đã bị ảnh hưởng nặng nề. Bản thân các bản tin đã tập trung vào việc phân tích hậu quả có thể xảy ra từ việc thanh lý, đặc biệt là khả năng Aave có thể là nạn nhân.
Tuy nhiên, cuối cùng, một nhóm người mua hùng hậu (mặc dù có lẽ khó xảy ra) đã bước vào. Họ đã mua CRV trong một giao dịch ngoài thị trường, cho phép Egorov tái cân bằng và trả khoản nợ khổng lồ. Tại thời điểm viết bài này, địa chỉ chính của anh ấy chỉ có hơn 50 triệu đô la nợ stablecoin, với 18 triệu đô la CRV giao ngay khác có sẵn để triển khai.
Kể từ khi podcast được ghi lại, sức khỏe vị trí của Egorov đã được cải thiện, nhiều tiền hơn đã quay trở lại giao thức và đặc biệt là Alchemix đã phục hồi hoàn toàn.
Vì vậy, tôi muốn nói thêm rằng phản ứng của cộng đồng đối với hack và giảm thiểu hack dường như đang ở một đỉnh cao mới và hy vọng tiêu chuẩn xuất sắc này sẽ tiếp tục.
Thật vậy, trong khi một số người có thể buộc tội tôi là quá lý tưởng hóa về vụ hack Curve khi mọi chuyện đã lắng xuống, ngày càng có nhiều sự đồng thuận rằng mặc dù có nhiều cuộc tấn công thành công vào một trong những sản phẩm hàng đầu của hệ sinh thái, nhưng DeFi sẽ trở nên kiên cường hơn. Đây có thể là một thỏa thuận mâu thuẫn.
Trước đây tôi đã cân nhắc về cách chúng tôi khái niệm hóa tác động của vụ hack này theo thời gian trong một ấn bản của Blockworks' Empire podcast. Theo quan điểm của tôi, chúng ta sẽ ghi nhớ điều này vì tác động của nó đối với cách thị trường cho vay xử lý rủi ro, không chỉ đối với số tiền bị mất.
Điều chỉnh thị trường cho vay
Sau vụ vi phạm, giao thức cho vay phải đối mặt với một câu hỏi đang diễn ra: tại sao vị thế của Michael Egorov lại được phép trở nên quá lớn và tiềm ẩn nhiều rủi ro? Và câu hỏi quan trọng hơn là: ai phải chịu trách nhiệm?
Người sáng lập Euler, Michael Bently, cho biết trên Twitter rằng vụ việc là một ví dụ về lý do tại sao DAO – được tạo thành từ các khu vực bầu cử chưa trưởng thành – có thể không phải là lựa chọn tốt nhất khi nói đến quản lý rủi ro. Trên thực tế, Aave DAO, công ty đã ký hợp đồng với công ty lập mô hình rủi ro Gauntlet, dường như đã phớt lờ những cảnh báo từ những người đánh giá rủi ro trước cuộc khủng hoảng vào tháng Sáu. Cuối cùng, DAO đã quyết định giữ lại thông số Aave v2 CRV.
Tuy nhiên, Ivan Ngmi, một người đóng góp ẩn danh cho Gearbox DAO, cho biết trong một cuộc phỏng vấn với Blockworks rằng một hệ thống quản lý rủi ro theo chương trình thuần túy không nhất thiết phải là lựa chọn tốt nhất do mức độ phụ thuộc lẫn nhau giữa các giao thức khác nhau và giá mã thông báo quản trị tương ứng của chúng. Gearbox đã tránh được ảnh hưởng của vụ hack nhóm khai thác CRV/ETH trong một vài ngày.
Ông viết: "Mọi giao thức phải suy nghĩ về các giao thức khác, cho phép các hiệu ứng xếp tầng có thể xảy ra. Nếu các giao thức này là vô chính phủ, thì chúng không thể thay đổi bất cứ điều gì, điều đó tùy thuộc vào người dùng của các giao thức này."
Tình hình của CRV hơi đặc biệt. Trong trường hợp này, những người sáng lập giao thức kiểm soát gần như tất cả các mã thông báo đang lưu hành và cho vay ở nhiều nơi và sử dụng các mã thông báo đó làm tài sản thế chấp. Việc quản trị hoàn toàn trên chuỗi khiến việc phát hiện hoặc giảm thiểu tình trạng này trở nên khó khăn.
Tuy nhiên, các hệ thống có thể được cải thiện ngay cả khi chúng không hoàn hảo. Người sáng lập Aave-Chan Initiative, Marc Zeller, cho biết trong một cuộc phỏng vấn với Blockworks rằng một đề xuất mới sẽ dần dần giải quyết tình trạng của Egorov trong v2 trong vòng “một quý”.
"Quá trình đang diễn ra và việc sử dụng nhóm CRV đã đẩy nhanh tiến độ," ông viết. chưa được giảm thiểu hoàn toàn, đối với Borrow cap, vốn có thể hạn chế tốt hơn việc vay mượn của siêu người dùng trong v3.
Zeller nói thêm: "Cuối cùng, rủi ro tổng thể của v2 hiện đã giảm và tỷ lệ chấp nhận của v3 tăng lên, vì vậy hiệu quả ròng là tích cực." Trên thị trường, việc quản lý rủi ro đang được thực hiện theo cách khác. Khi được liên hệ, Egorov từ chối bình luận, với lý do vị trí của anh đang được quản lý.
DẤU 911
Hiện tượng "phòng chiến tranh", trong đó các thành viên cộng đồng và tình nguyện viên làm việc với các nhà phát triển giao thức bị tấn công để cố gắng giảm thiểu tác động của vi phạm, đã đóng một vai trò quan trọng trong nhiều lần khôi phục thành công gần đây. Tuy nhiên, một nỗ lực như vậy có thể đầy phức tạp.
Hai hãng bảo mật Blocksec và Supremacy đã bị chỉ trích nặng nề trên mạng xã hội sau khi công bố chi tiết về quá trình khai thác lỗ hổng trình biên dịch Vyper. Robert Chen của OtterSec đã mô tả trong một bài đăng trên blog xuất sắc về cách hai hoạt động mũ trắng khác nhau bị cản trở chỉ trong vài phút. Trong vụ hack này, khi các lỗ hổng dai dẳng dẫn đến nhiều cuộc tấn công, việc xuất bản thông tin về các lần khai thác có thể cung cấp cho những kẻ tấn công tiềm năng thông tin bổ sung cho phép chúng vượt qua mũ trắng, dẫn đến thiệt hại thêm.
Tuy nhiên, tôi đồng cảm với Blocksec, người cảm thấy rằng không có cách nào để liên lạc với nhóm bị ảnh hưởng, giải thích lỗ hổng cho công chúng để người dùng có thể rút tiền của họ là lựa chọn đạo đức đúng đắn.
Cuối cùng, việc đưa đúng người vào phòng chiến tranh (không thu hút sự chú ý của những người có khả năng trở thành mũ đen) có thể là một bài toán hóc búa giữa con gà và quả trứng. Sau sự cố Curve, cộng đồng có thể đã phát triển một giải pháp khả thi.
Samczsun, nhà nghiên cứu bảo mật Mô hình ẩn danh nổi tiếng đã công bố ra mắt dịch vụ phản hồi mũ trắng "thử nghiệm" có tên là SEAL 911. Dịch vụ này, được tạo thành từ các bot Telegram, nhằm mục đích kết nối các nhóm bị tấn công gần đây với một nhóm chuyên gia bảo mật và các cựu chiến binh trong phòng chiến tranh. Storm, một cộng tác viên ẩn danh của Yearn và là người thường xuyên của Phòng Chiến tranh, đã nói với Blockworks trong một cuộc phỏng vấn rằng dịch vụ này nhằm mục đích giải quyết vấn đề nhức nhối trong việc kết nối họ với các chuyên gia sẵn sàng giúp đỡ các nhóm bị ảnh hưởng. Storm cũng là một thành viên công khai của đội SEAL 911.
Anh ấy viết: "Cho đến lúc đó, bạn cần nhân viên bảo mật đáng tin cậy trên mạng của mình trong trường hợp xảy ra sự cố hoặc trường hợp khẩn cấp... Hy vọng rằng điều này sẽ cung cấp cho bạn đường dây nóng chỉ bằng một cú nhấp chuột với các nhà nghiên cứu bảo mật có kinh nghiệm mà chúng tôi có thể tin tưởng kết nối."
Theo Storm, dịch vụ này đã được sử dụng vì các thành viên của giao thức Cypher dựa trên Solana đã liên lạc với các thành viên SEAL 911 vào thứ Hai, ngay sau khi dịch vụ được công bố.
Hơn nữa, SEAL 911 đến vào thời điểm mà phản ứng mũ trắng có thể đạt hiệu quả cao nhất. Các nhà đàm phán đã đảm bảo việc trả lại tiền từ vi phạm kể từ vụ hack Euler.
Vào ngày 30 tháng 7, 71 triệu đô la đã được rút khỏi nhóm khai thác Curve. Tính đến thời điểm hiện tại, 75% số tiền đã được thu hồi thông qua các hoạt động và đàm phán mũ trắng. Chỉ có một người khai thác vẫn giữ tiền - và thậm chí họ đang phải đối mặt với áp lực ngày càng tăng dưới hình thức tiền thưởng cộng đồng.
Điều đó có thể không mang lại nhiều an ủi cho những người tiết kiệm cảm thấy bị mắc kẹt vào thời điểm tồi tệ nhất của vụ hack. Nhưng giữa những cải tiến về giao thức và khoảnh khắc đoàn kết trong cộng đồng bảo mật, hệ sinh thái DeFi sau cuộc tấn công Curve dường như lành mạnh hơn trước.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Điều gì tiếp theo cho DeFi sau cuộc khủng hoảng Curve?
Tác giả: Andrew Thurman, blockworks Biên dịch: Shan Ouba, Jinse Finance
Thị trường cho vay thông minh hơn và các nhóm mũ trắng phản ứng nhanh cải thiện khả năng vi phạm bảo mật sau đường cong của DeFi
Vụ hack Curve hầu như không lọt vào top 30 mọi thời đại, theo Bảng xếp hạng tổn thất khai thác toàn cầu của Rekt, mặc dù trước đó mũ trắng và liên minh các chuyên gia bảo mật đã tìm cách lấy lại một số tiền bị đánh cắp. Điều này càng đáng lo ngại hơn đối với hầu hết các nhà quan sát. Trước hết, Curve là một giao thức thanh khoản nổi tiếng và là một phần quan trọng của hệ thống stablecoin.
Vào Chủ nhật, ngày 30 tháng 7, nhóm Curve đã nói ít nhất hai lần rằng họ đã giảm thiểu tác động của vụ hack, nhưng một cuộc tấn công khác gây thiệt hại hàng triệu đô la chắc chắn sẽ gây ra sự bất an.
Thiệt hại đối với giao thức do cuộc tấn công có thể là một hậu quả đáng lo ngại sau nhiều quan điểm DeFi khác nhau mà người sáng lập Curve, Michael Egorov, đã bày tỏ.
Trước vụ hack, các khoản vay trị giá hơn 110 triệu đô la đột nhiên dễ bị tổn thương vì chúng được hỗ trợ bởi mã thông báo quản trị của Curve (CRV) và mã thông báo phần thưởng, vốn đã bị ảnh hưởng nặng nề. Bản thân các bản tin đã tập trung vào việc phân tích hậu quả có thể xảy ra từ việc thanh lý, đặc biệt là khả năng Aave có thể là nạn nhân.
Tuy nhiên, cuối cùng, một nhóm người mua hùng hậu (mặc dù có lẽ khó xảy ra) đã bước vào. Họ đã mua CRV trong một giao dịch ngoài thị trường, cho phép Egorov tái cân bằng và trả khoản nợ khổng lồ. Tại thời điểm viết bài này, địa chỉ chính của anh ấy chỉ có hơn 50 triệu đô la nợ stablecoin, với 18 triệu đô la CRV giao ngay khác có sẵn để triển khai.
Kể từ khi podcast được ghi lại, sức khỏe vị trí của Egorov đã được cải thiện, nhiều tiền hơn đã quay trở lại giao thức và đặc biệt là Alchemix đã phục hồi hoàn toàn.
Vì vậy, tôi muốn nói thêm rằng phản ứng của cộng đồng đối với hack và giảm thiểu hack dường như đang ở một đỉnh cao mới và hy vọng tiêu chuẩn xuất sắc này sẽ tiếp tục.
Thật vậy, trong khi một số người có thể buộc tội tôi là quá lý tưởng hóa về vụ hack Curve khi mọi chuyện đã lắng xuống, ngày càng có nhiều sự đồng thuận rằng mặc dù có nhiều cuộc tấn công thành công vào một trong những sản phẩm hàng đầu của hệ sinh thái, nhưng DeFi sẽ trở nên kiên cường hơn. Đây có thể là một thỏa thuận mâu thuẫn.
Trước đây tôi đã cân nhắc về cách chúng tôi khái niệm hóa tác động của vụ hack này theo thời gian trong một ấn bản của Blockworks' Empire podcast. Theo quan điểm của tôi, chúng ta sẽ ghi nhớ điều này vì tác động của nó đối với cách thị trường cho vay xử lý rủi ro, không chỉ đối với số tiền bị mất.
Điều chỉnh thị trường cho vay
Sau vụ vi phạm, giao thức cho vay phải đối mặt với một câu hỏi đang diễn ra: tại sao vị thế của Michael Egorov lại được phép trở nên quá lớn và tiềm ẩn nhiều rủi ro? Và câu hỏi quan trọng hơn là: ai phải chịu trách nhiệm?
Người sáng lập Euler, Michael Bently, cho biết trên Twitter rằng vụ việc là một ví dụ về lý do tại sao DAO – được tạo thành từ các khu vực bầu cử chưa trưởng thành – có thể không phải là lựa chọn tốt nhất khi nói đến quản lý rủi ro. Trên thực tế, Aave DAO, công ty đã ký hợp đồng với công ty lập mô hình rủi ro Gauntlet, dường như đã phớt lờ những cảnh báo từ những người đánh giá rủi ro trước cuộc khủng hoảng vào tháng Sáu. Cuối cùng, DAO đã quyết định giữ lại thông số Aave v2 CRV.
Tuy nhiên, Ivan Ngmi, một người đóng góp ẩn danh cho Gearbox DAO, cho biết trong một cuộc phỏng vấn với Blockworks rằng một hệ thống quản lý rủi ro theo chương trình thuần túy không nhất thiết phải là lựa chọn tốt nhất do mức độ phụ thuộc lẫn nhau giữa các giao thức khác nhau và giá mã thông báo quản trị tương ứng của chúng. Gearbox đã tránh được ảnh hưởng của vụ hack nhóm khai thác CRV/ETH trong một vài ngày.
Ông viết: "Mọi giao thức phải suy nghĩ về các giao thức khác, cho phép các hiệu ứng xếp tầng có thể xảy ra. Nếu các giao thức này là vô chính phủ, thì chúng không thể thay đổi bất cứ điều gì, điều đó tùy thuộc vào người dùng của các giao thức này."
Tình hình của CRV hơi đặc biệt. Trong trường hợp này, những người sáng lập giao thức kiểm soát gần như tất cả các mã thông báo đang lưu hành và cho vay ở nhiều nơi và sử dụng các mã thông báo đó làm tài sản thế chấp. Việc quản trị hoàn toàn trên chuỗi khiến việc phát hiện hoặc giảm thiểu tình trạng này trở nên khó khăn.
Tuy nhiên, các hệ thống có thể được cải thiện ngay cả khi chúng không hoàn hảo. Người sáng lập Aave-Chan Initiative, Marc Zeller, cho biết trong một cuộc phỏng vấn với Blockworks rằng một đề xuất mới sẽ dần dần giải quyết tình trạng của Egorov trong v2 trong vòng “một quý”.
"Quá trình đang diễn ra và việc sử dụng nhóm CRV đã đẩy nhanh tiến độ," ông viết. chưa được giảm thiểu hoàn toàn, đối với Borrow cap, vốn có thể hạn chế tốt hơn việc vay mượn của siêu người dùng trong v3.
Zeller nói thêm: "Cuối cùng, rủi ro tổng thể của v2 hiện đã giảm và tỷ lệ chấp nhận của v3 tăng lên, vì vậy hiệu quả ròng là tích cực." Trên thị trường, việc quản lý rủi ro đang được thực hiện theo cách khác. Khi được liên hệ, Egorov từ chối bình luận, với lý do vị trí của anh đang được quản lý.
DẤU 911
Hiện tượng "phòng chiến tranh", trong đó các thành viên cộng đồng và tình nguyện viên làm việc với các nhà phát triển giao thức bị tấn công để cố gắng giảm thiểu tác động của vi phạm, đã đóng một vai trò quan trọng trong nhiều lần khôi phục thành công gần đây. Tuy nhiên, một nỗ lực như vậy có thể đầy phức tạp.
Hai hãng bảo mật Blocksec và Supremacy đã bị chỉ trích nặng nề trên mạng xã hội sau khi công bố chi tiết về quá trình khai thác lỗ hổng trình biên dịch Vyper. Robert Chen của OtterSec đã mô tả trong một bài đăng trên blog xuất sắc về cách hai hoạt động mũ trắng khác nhau bị cản trở chỉ trong vài phút. Trong vụ hack này, khi các lỗ hổng dai dẳng dẫn đến nhiều cuộc tấn công, việc xuất bản thông tin về các lần khai thác có thể cung cấp cho những kẻ tấn công tiềm năng thông tin bổ sung cho phép chúng vượt qua mũ trắng, dẫn đến thiệt hại thêm.
Tuy nhiên, tôi đồng cảm với Blocksec, người cảm thấy rằng không có cách nào để liên lạc với nhóm bị ảnh hưởng, giải thích lỗ hổng cho công chúng để người dùng có thể rút tiền của họ là lựa chọn đạo đức đúng đắn.
Cuối cùng, việc đưa đúng người vào phòng chiến tranh (không thu hút sự chú ý của những người có khả năng trở thành mũ đen) có thể là một bài toán hóc búa giữa con gà và quả trứng. Sau sự cố Curve, cộng đồng có thể đã phát triển một giải pháp khả thi.
Samczsun, nhà nghiên cứu bảo mật Mô hình ẩn danh nổi tiếng đã công bố ra mắt dịch vụ phản hồi mũ trắng "thử nghiệm" có tên là SEAL 911. Dịch vụ này, được tạo thành từ các bot Telegram, nhằm mục đích kết nối các nhóm bị tấn công gần đây với một nhóm chuyên gia bảo mật và các cựu chiến binh trong phòng chiến tranh. Storm, một cộng tác viên ẩn danh của Yearn và là người thường xuyên của Phòng Chiến tranh, đã nói với Blockworks trong một cuộc phỏng vấn rằng dịch vụ này nhằm mục đích giải quyết vấn đề nhức nhối trong việc kết nối họ với các chuyên gia sẵn sàng giúp đỡ các nhóm bị ảnh hưởng. Storm cũng là một thành viên công khai của đội SEAL 911.
Anh ấy viết: "Cho đến lúc đó, bạn cần nhân viên bảo mật đáng tin cậy trên mạng của mình trong trường hợp xảy ra sự cố hoặc trường hợp khẩn cấp... Hy vọng rằng điều này sẽ cung cấp cho bạn đường dây nóng chỉ bằng một cú nhấp chuột với các nhà nghiên cứu bảo mật có kinh nghiệm mà chúng tôi có thể tin tưởng kết nối."
Theo Storm, dịch vụ này đã được sử dụng vì các thành viên của giao thức Cypher dựa trên Solana đã liên lạc với các thành viên SEAL 911 vào thứ Hai, ngay sau khi dịch vụ được công bố.
Hơn nữa, SEAL 911 đến vào thời điểm mà phản ứng mũ trắng có thể đạt hiệu quả cao nhất. Các nhà đàm phán đã đảm bảo việc trả lại tiền từ vi phạm kể từ vụ hack Euler.
Vào ngày 30 tháng 7, 71 triệu đô la đã được rút khỏi nhóm khai thác Curve. Tính đến thời điểm hiện tại, 75% số tiền đã được thu hồi thông qua các hoạt động và đàm phán mũ trắng. Chỉ có một người khai thác vẫn giữ tiền - và thậm chí họ đang phải đối mặt với áp lực ngày càng tăng dưới hình thức tiền thưởng cộng đồng.
Điều đó có thể không mang lại nhiều an ủi cho những người tiết kiệm cảm thấy bị mắc kẹt vào thời điểm tồi tệ nhất của vụ hack. Nhưng giữa những cải tiến về giao thức và khoảnh khắc đoàn kết trong cộng đồng bảo mật, hệ sinh thái DeFi sau cuộc tấn công Curve dường như lành mạnh hơn trước.