مشاكل أمان التمويل اللامركزي : تحليل حادثة هجوم بروتوكول YFI
في مجال التمويل اللامركزي ، كانت مسائل الأمان موضوعًا يثير الكثير من الاهتمام لكنه لم يحظ بالاهتمام الكافي. على الرغم من أن الخبراء نشروا العديد من المقالات لتحليل مخاطر نظام التمويل اللامركزي ، فإن القضايا ذات الصلة لا تزال قائمة. في ظل ارتفاع حرارة السوق وتوسع حجم الأموال المقفلة ، يبدو أن الناس يتجاهلون المخاطر الكامنة تحت هذا المظهر المزدهر.
YFI بروتوكول遭受闪电贷攻击
في بداية عام 2021، أصبح مشروع Yearn Finance، الذي كان نجمًا سابقًا في التمويل اللامركزي، ضحية لهجوم اقتراض فوري. وفقًا لتحليل وكالة الأمن، كان الهجوم مستهدفًا بشكل رئيسي على حمام استراتيجيات DAI الخاص بـ Yearn Finance، حيث قام المهاجم بتنفيذ سلسلة من العمليات المعقدة لتحقيق أرباح.
تكون عملية الهجوم تقريبًا كما يلي:
اقتراض كمية كبيرة من ETH من منصات متعددة
استخدم الإيثريوم المستعار للحصول على DAI و USDC على منصة اقتراض معينة
ضخ معظم الأموال في بركة تداول عملة مستقرة معينة، والتحكم في معظم السيولة
من خلال تعديل نسبة الرموز في المسبح، يتسبب في اختلال الأسعار
الاستفادة من عدم توازن الأسعار، وإجراء العمليات في حوض استراتيجية Yearn DAI
استعادة توازن تجمع العملات المستقرة
قم بتحفيز سحب استراتيجية Yearn DAI للحصول على مساحة التحكيم
كرر الخطوات المذكورة أعلاه عدة مرات، وبذلك تنتهي من تحقيق الأرباح
تسببت هذه السلسلة من العمليات في تكبد Yearn Finance خسائر ضخمة.
جذور المشكلة: آلية الأسعار الهشة
المسألة الجوهرية في هذا الحدث ليست القرض الفوري بحد ذاته، بل هي آلية الأسعار الهشة الموجودة في بروتوكولات التمويل اللامركزي. بعض التركيبات بين البروتوكولات استغلت حصص أحواض التمويل المختلفة لتحديد الأسعار، وهذه الآلية سهلة التلاعب بها.
يمكن مقارنة بروتوكولات التمويل اللامركزي المختلفة بـ"دول" مختلفة، حيث تحتوي كل "دولة" على قواعدها الخاصة. يقوم التجار الأذكياء من خلال دراسة الفروق بين هذه القواعد، بالبحث عن فرص للتحكيم. هذه السلوكيات في جوهرها استغلال للقواعد المعمول بها لتحقيق الأرباح، ومن الصعب ببساطة إلقاء اللوم على المهاجمين.
الأخطاء الشائعة في تطوير التمويل اللامركزي
يولي العديد من مطوري بروتوكولات التمويل اللامركزي الاهتمام المفرط للسرعة والكفاءة، متجاهلين جوهر blockchain. يختار معظم الناس السعي وراء النمو السريع، بدلاً من الرغبة في معالجة القضايا الأساسية.
تؤكد فلسفة تصميم البيتكوين على التحقق من المعاملات من قبل جميع العقد، حيث يهدف هذا النظام المعقد المفرط إلى تعزيز "الموثوقية" بدلاً من "القابلية للاستخدام". تزداد أمان شبكة البيتكوين مع زيادة حجم قوة الحوسبة، على الرغم من أن كفاءة المعالجة لم تتحسن بشكل متناسب.
بالمقارنة، إذا كانت آلية السعر تعتمد فقط على عدد قليل من "العقد الموثوقة" أو حصة بسيطة من تجمعات الأموال لتحديد السعر، بينما لا يمكن للمستخدمين التحقق منها بشكل فعال، فإن هذا السعر يفتقر إلى أساس حقيقي من الإجماع. تتعارض هذه الآلية مع الطبيعة اللامركزية للبلوك تشين.
طريق الأمان اللامركزي
في مواجهة هذه التحديات، تستكشف بعض البروتوكولات حلولًا أكثر لامركزية. على سبيل المثال، تلتزم بعض البروتوكولات بإنشاء آلية لتوليد الأسعار يمكن التحقق منها من قبل أي شخص دون الحاجة إلى إذن. تعتمد هذه الآلية على نظام الألعاب غير التعاونية، مع زيادة عدد المشاركين، ستتحسن جودة بيانات الأسعار بشكل متناسب.
في ظل ظروف السوق الفعالة، يشمل التنافس بين المشاركين من جانب الشراء، بما في ذلك مقدمي العروض، والمحققين، والبروتوكولات، والتفاعل بين السوق الثانوية، مما يشكل نظامًا غير تعاوني متعدد الأبعاد. بيانات الأسعار على السلسلة التي تنشأ من هذا النظام أكثر موثوقية وأمانًا.
يجب أن يكون التمسك بجوهر اللامركزية في البلوكشين واتباع روح اللامركزية دائمًا هو المبدأ الأساسي لتطور صناعة البلوكشين. فقط بهذه الطريقة يمكن بناء نظام بيئي آمن وموثوق للتمويل اللامركزي .
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 17
أعجبني
17
5
مشاركة
تعليق
0/400
SolidityNewbie
· منذ 16 س
قفل المركز那么多就不管安全的嘛
شاهد النسخة الأصليةرد0
MetaverseLandlord
· منذ 16 س
yfi تم ضربها مرة أخرى، من سيجرؤ على الادخل مركز؟
شاهد النسخة الأصليةرد0
RegenRestorer
· منذ 16 س
حقاً، لقد حدثت ثغرة... احفظوا المحفظة جيداً عائلتي
شاهد النسخة الأصليةرد0
ZKSherlock
· منذ 16 س
في الواقع... قابل للتوقع إلى حد كبير. كان نقص التحقق التشفيري المناسب في برك الإقراض ضعفًا واضحًا منذ اليوم الأول *sigh*
شاهد النسخة الأصليةرد0
MultiSigFailMaster
· منذ 16 س
يؤ! YFI لم يعد قادرًا على التحمل، قلت من قبل إن القروض السريعة ستحدث مشاكل في النهاية.
YFI遭هجوم القرض الفوري التمويل اللامركزي آلية الأسعار安全引متابعة
مشاكل أمان التمويل اللامركزي : تحليل حادثة هجوم بروتوكول YFI
في مجال التمويل اللامركزي ، كانت مسائل الأمان موضوعًا يثير الكثير من الاهتمام لكنه لم يحظ بالاهتمام الكافي. على الرغم من أن الخبراء نشروا العديد من المقالات لتحليل مخاطر نظام التمويل اللامركزي ، فإن القضايا ذات الصلة لا تزال قائمة. في ظل ارتفاع حرارة السوق وتوسع حجم الأموال المقفلة ، يبدو أن الناس يتجاهلون المخاطر الكامنة تحت هذا المظهر المزدهر.
YFI بروتوكول遭受闪电贷攻击
في بداية عام 2021، أصبح مشروع Yearn Finance، الذي كان نجمًا سابقًا في التمويل اللامركزي، ضحية لهجوم اقتراض فوري. وفقًا لتحليل وكالة الأمن، كان الهجوم مستهدفًا بشكل رئيسي على حمام استراتيجيات DAI الخاص بـ Yearn Finance، حيث قام المهاجم بتنفيذ سلسلة من العمليات المعقدة لتحقيق أرباح.
تكون عملية الهجوم تقريبًا كما يلي:
تسببت هذه السلسلة من العمليات في تكبد Yearn Finance خسائر ضخمة.
جذور المشكلة: آلية الأسعار الهشة
المسألة الجوهرية في هذا الحدث ليست القرض الفوري بحد ذاته، بل هي آلية الأسعار الهشة الموجودة في بروتوكولات التمويل اللامركزي. بعض التركيبات بين البروتوكولات استغلت حصص أحواض التمويل المختلفة لتحديد الأسعار، وهذه الآلية سهلة التلاعب بها.
يمكن مقارنة بروتوكولات التمويل اللامركزي المختلفة بـ"دول" مختلفة، حيث تحتوي كل "دولة" على قواعدها الخاصة. يقوم التجار الأذكياء من خلال دراسة الفروق بين هذه القواعد، بالبحث عن فرص للتحكيم. هذه السلوكيات في جوهرها استغلال للقواعد المعمول بها لتحقيق الأرباح، ومن الصعب ببساطة إلقاء اللوم على المهاجمين.
الأخطاء الشائعة في تطوير التمويل اللامركزي
يولي العديد من مطوري بروتوكولات التمويل اللامركزي الاهتمام المفرط للسرعة والكفاءة، متجاهلين جوهر blockchain. يختار معظم الناس السعي وراء النمو السريع، بدلاً من الرغبة في معالجة القضايا الأساسية.
تؤكد فلسفة تصميم البيتكوين على التحقق من المعاملات من قبل جميع العقد، حيث يهدف هذا النظام المعقد المفرط إلى تعزيز "الموثوقية" بدلاً من "القابلية للاستخدام". تزداد أمان شبكة البيتكوين مع زيادة حجم قوة الحوسبة، على الرغم من أن كفاءة المعالجة لم تتحسن بشكل متناسب.
بالمقارنة، إذا كانت آلية السعر تعتمد فقط على عدد قليل من "العقد الموثوقة" أو حصة بسيطة من تجمعات الأموال لتحديد السعر، بينما لا يمكن للمستخدمين التحقق منها بشكل فعال، فإن هذا السعر يفتقر إلى أساس حقيقي من الإجماع. تتعارض هذه الآلية مع الطبيعة اللامركزية للبلوك تشين.
طريق الأمان اللامركزي
في مواجهة هذه التحديات، تستكشف بعض البروتوكولات حلولًا أكثر لامركزية. على سبيل المثال، تلتزم بعض البروتوكولات بإنشاء آلية لتوليد الأسعار يمكن التحقق منها من قبل أي شخص دون الحاجة إلى إذن. تعتمد هذه الآلية على نظام الألعاب غير التعاونية، مع زيادة عدد المشاركين، ستتحسن جودة بيانات الأسعار بشكل متناسب.
في ظل ظروف السوق الفعالة، يشمل التنافس بين المشاركين من جانب الشراء، بما في ذلك مقدمي العروض، والمحققين، والبروتوكولات، والتفاعل بين السوق الثانوية، مما يشكل نظامًا غير تعاوني متعدد الأبعاد. بيانات الأسعار على السلسلة التي تنشأ من هذا النظام أكثر موثوقية وأمانًا.
يجب أن يكون التمسك بجوهر اللامركزية في البلوكشين واتباع روح اللامركزية دائمًا هو المبدأ الأساسي لتطور صناعة البلوكشين. فقط بهذه الطريقة يمكن بناء نظام بيئي آمن وموثوق للتمويل اللامركزي .