Проблемы безопасности Децентрализованных финансов: анализ инцидента с атакой на YFI Протокол
В области Децентрализованных финансов безопасность всегда была темой, вызывающей большое беспокойство, но которой не уделялось должного внимания. Несмотря на то, что эксперты опубликовали множество статей для анализа рисков экосистемы DeFi, связанные проблемы продолжают существовать. На фоне продолжающего роста интереса к рынку и увеличения объемов заблокированных средств люди, похоже, игнорируют скрытые риски, которые находятся под этой оболочкой процветания.
YFI Протокол подвергся атаке с использованием флеш-кредита
В начале 2021 года бывший звездный проект DeFi Yearn Finance стал жертвой атаки через кредитование. Согласно анализу безопасности, эта атака была нацелена в основном на стратегический пул DAI Yearn Finance, и злоумышленник осуществил арбитраж с помощью ряда сложных операций.
Процесс атаки в основном следующий:
Заимствовать большое количество ETH с нескольких платформ
Используйте занятый ETH на одной из платформ для займа, чтобы получить DAI и USDC
Вложите большую часть средств в пул обмена стабильной монеты, контролируя большую часть ликвидности
Изменяя пропорции токенов в пуле, можно вызвать дисбаланс цен
Используйте ценовые дисбалансы для операций в стратегическом пуле Yearn DAI
Восстановление баланса пула стабильных монет
Вызовите вывод из пула стратегии Yearn DAI, чтобы получить арбитражное пространство
Повторяйте вышеуказанные шаги несколько раз, чтобы в конечном итоге получить прибыль.
Эта серия операций привела к огромным убыткам для Yearn Finance.
Корень проблемы: хрупкий ценовой механизм
Основная проблема данного инцидента заключается не в самом кредитовании под залог, а в уязвимой ценовой механике, существующей в Децентрализованных финансах. Комбинации между некоторыми протоколами используют доли различных пулов ликвидности для определения цены, и эта механика подвержена манипуляциям.
Различные Децентрализованные финансы протоколы можно сравнить с разными "странами", каждая из которых имеет свои правила. Умные "торговцы" изучают различия между этими правилами в поисках арбитражных возможностей. Это поведение по сути использует установленные правила для получения выгоды и трудно просто обвинить в этом атакующих.
Ошибки в разработке Децентрализованных финансов
В настоящее время многие разработчики Децентрализованных финансов слишком сосредоточены на скорости и эффективности, игнорируя суть блокчейна. Большинство людей предпочитают стремиться к быстрому развитию, а не углубляться в решение основных проблем.
Дизайн Биткойна акцентирует внимание на совместной проверке транзакций всеми узлами. Эта избыточная сложная система направлена на повышение "достоверности", а не "доступности". Безопасность сети Биткойн увеличивается с ростом вычислительной мощности, хотя эффективность обработки не увеличивается.
В отличие от этого, если механизм ценообразования зависит только от немногих "доверенных" узлов или простых долей фондов для принятия решения, и пользователи не могут эффективно это проверить, тогда эта цена лишена настоящей основы консенсуса. Такой механизм противоречит децентрализованной природе блокчейна.
Путь децентрализованной безопасности
Перед лицом этих вызовов некоторые протоколы исследуют более децентрализованные решения. Например, некоторые протоколы стремятся создать механизм генерации цен, который не требует разрешений и может быть проверен любым человеком. Этот механизм основан на системе нек合作ных игр, и с увеличением числа участников качество ценовых данных будет соответственно повышаться.
В условиях эффективного рынка взаимодействие между участниками с длинными позициями, включая котировщиков, валидаторов, протокол и вторичный рынок, совместно формирует многомерную неконкурентную игровую систему. Данные о ценах на цепочке, генерируемые такой системой, становятся более надежными и безопасными.
Сохраняя децентрализованную природу блокчейна и всегда следуя духу децентрализации, это должно стать основным принципом развития блокчейн-индустрии. Только так можно действительно построить безопасную и надежную экосистему Децентрализованных финансов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
17 Лайков
Награда
17
6
Поделиться
комментарий
0/400
GetRichLeek
· 5ч назад
в блокчейне данные уже давно выставили риски, каждый день мечтающие о богатстве уже разыгрываются людьми как лохов
Посмотреть ОригиналОтветить0
SolidityNewbie
· 23ч назад
Закрытая позиция那么多就不管安全的嘛
Посмотреть ОригиналОтветить0
MetaverseLandlord
· 23ч назад
yfi снова получил удар, кто еще осмелится войти в позицию?
Посмотреть ОригиналОтветить0
RegenRestorer
· 23ч назад
真就破洞咯...Кошелек藏好点семья
Посмотреть ОригиналОтветить0
ZKSherlock
· 23ч назад
на самом деле... довольно предсказуемо. отсутствие надлежащей криптографической верификации в кредитных пулах является очевидной уязвимостью с первого дня *вздох*
Посмотреть ОригиналОтветить0
MultiSigFailMaster
· 23ч назад
Ё YFI тоже не выдержал, давно говорил, что срочные займы рано или поздно приведут к проблемам.
YFI подвергся флеш-атаке займа, безопасность механизма цен Децентрализованных финансов вызывает следование
Проблемы безопасности Децентрализованных финансов: анализ инцидента с атакой на YFI Протокол
В области Децентрализованных финансов безопасность всегда была темой, вызывающей большое беспокойство, но которой не уделялось должного внимания. Несмотря на то, что эксперты опубликовали множество статей для анализа рисков экосистемы DeFi, связанные проблемы продолжают существовать. На фоне продолжающего роста интереса к рынку и увеличения объемов заблокированных средств люди, похоже, игнорируют скрытые риски, которые находятся под этой оболочкой процветания.
YFI Протокол подвергся атаке с использованием флеш-кредита
В начале 2021 года бывший звездный проект DeFi Yearn Finance стал жертвой атаки через кредитование. Согласно анализу безопасности, эта атака была нацелена в основном на стратегический пул DAI Yearn Finance, и злоумышленник осуществил арбитраж с помощью ряда сложных операций.
Процесс атаки в основном следующий:
Эта серия операций привела к огромным убыткам для Yearn Finance.
Корень проблемы: хрупкий ценовой механизм
Основная проблема данного инцидента заключается не в самом кредитовании под залог, а в уязвимой ценовой механике, существующей в Децентрализованных финансах. Комбинации между некоторыми протоколами используют доли различных пулов ликвидности для определения цены, и эта механика подвержена манипуляциям.
Различные Децентрализованные финансы протоколы можно сравнить с разными "странами", каждая из которых имеет свои правила. Умные "торговцы" изучают различия между этими правилами в поисках арбитражных возможностей. Это поведение по сути использует установленные правила для получения выгоды и трудно просто обвинить в этом атакующих.
Ошибки в разработке Децентрализованных финансов
В настоящее время многие разработчики Децентрализованных финансов слишком сосредоточены на скорости и эффективности, игнорируя суть блокчейна. Большинство людей предпочитают стремиться к быстрому развитию, а не углубляться в решение основных проблем.
Дизайн Биткойна акцентирует внимание на совместной проверке транзакций всеми узлами. Эта избыточная сложная система направлена на повышение "достоверности", а не "доступности". Безопасность сети Биткойн увеличивается с ростом вычислительной мощности, хотя эффективность обработки не увеличивается.
В отличие от этого, если механизм ценообразования зависит только от немногих "доверенных" узлов или простых долей фондов для принятия решения, и пользователи не могут эффективно это проверить, тогда эта цена лишена настоящей основы консенсуса. Такой механизм противоречит децентрализованной природе блокчейна.
Путь децентрализованной безопасности
Перед лицом этих вызовов некоторые протоколы исследуют более децентрализованные решения. Например, некоторые протоколы стремятся создать механизм генерации цен, который не требует разрешений и может быть проверен любым человеком. Этот механизм основан на системе нек合作ных игр, и с увеличением числа участников качество ценовых данных будет соответственно повышаться.
В условиях эффективного рынка взаимодействие между участниками с длинными позициями, включая котировщиков, валидаторов, протокол и вторичный рынок, совместно формирует многомерную неконкурентную игровую систему. Данные о ценах на цепочке, генерируемые такой системой, становятся более надежными и безопасными.
Сохраняя децентрализованную природу блокчейна и всегда следуя духу децентрализации, это должно стать основным принципом развития блокчейн-индустрии. Только так можно действительно построить безопасную и надежную экосистему Децентрализованных финансов.