Проблеми безпеки Децентралізованих фінансів: аналіз інциденту атаки на YFI протокол
У сфері Децентралізовані фінанси безпека завжди була темою, яка викликала великий інтерес, але не отримала належної уваги. Незважаючи на те, що експерти опублікували безліч статей, щоб проаналізувати ризики екосистеми DeFi, відповідні проблеми все ще існують. На фоні постійного зростання інтересу на ринку та розширення обсягів ліквідності здається, що люди ігнорують приховані ризики, які ховаються під цим бурхливим зовнішнім виглядом.
YFI протокол遭受闪电贷攻击
На початку 2021 року колишній зірковий проект DeFi Yearn Finance став жертвою атаки з використанням миттєвих кредитів. Згідно з аналізом безпекових агентств, ця атака була націлена в основному на стратегічний пул DAI Yearn Finance, а зловмисник реалізував арбітраж через серію складних операцій.
Процес атаки приблизно такий:
Позичити велику кількість ETH з кількох платформ
Використання позиченого ETH для отримання DAI та USDC на певній платформі кредитування
Вкласти більшість коштів у пул торгівлі стабільною монетою, контролюючи більшість ліквідності
Через коригування пропорції токенів у пулі виникає ціновий дисбаланс
Використовуючи цінові дисбаланси, здійснюйте операції в стратегічному пулі Yearn DAI
Відновлення балансу пулу стабільних монет
Активувати виведення з пулу стратегій Yearn DAI, щоб отримати арбітражний простір
Повторіть наведені вище кроки кілька разів, поки не завершите отримання прибутку
Ця серія дій призвела до великих збитків для Yearn Finance.
Джерело проблеми: вразливий ціновий механізм
Основна проблема цього інциденту полягає не в самих闪电贷, а в крихкій ціновій механіці, що існує в DeFi-протоколах. Поєднання між певними протоколами використовує частки різних пулів для визначення ціни, і цей механізм легко піддається маніпуляціям.
Можна порівняти різні протоколи Децентралізованих фінансів з різними "країнами", кожна з яких має свої правила. Розумні "торговці" вивчають відмінності між цими правилами, щоб знайти можливості для арбітражу. Ця поведінка по суті є використанням встановлених правил для отримання вигоди, що важко просто звинуватити в атаках.
Помилки в розробці Децентралізованих фінансів
Нині багато розробників DeFi-протоколів надто зосереджені на швидкості та ефективності, ігноруючи суть блокчейну. Більшість людей обирають прагнення до швидкого розвитку, не бажаючи глибоко вирішувати основні проблеми.
Дизайн біткоїна підкреслює спільну перевірку транзакцій усіма вузлами; ця надлишкова складна система має на меті підвищення "достовірності", а не "доступності". Безпека мережі біткоїна зростає з розширенням потужності обчислень, хоча ефективність обробки не покращується відповідно.
У порівнянні, якщо механізм ціноутворення лише покладається на кілька "достовірних" вузлів або прості частки фондів для прийняття рішень, а користувачі не можуть ефективно їх перевірити, тоді ця ціна позбавлена справжньої основи консенсусу. Такий механізм суперечить децентралізованій суті блокчейну.
Шлях до децентралізованої безпеки
Стикаючись із цими викликами, деякі протоколи шукають більш децентралізовані рішення. Наприклад, деякі протоколи прагнуть створити механізм генерації цін, який не вимагає дозволу і може бути перевірений будь-ким. Цей механізм базується на системі нек cooperative гри, і з ростом кількості учасників якість цінових даних також буде відповідно покращуватися.
У умовах ефективного ринку гра між учасниками з боку покупців, включаючи котировальників, перевірювачів, протокол та взаємодію з вторинним ринком, спільно складає багатовимірну систему неконкурентної гри. Дані цін на блокчейні, що генеруються цією системою, є більш надійними та безпечними.
Дотримуючись децентралізованої сутності блокчейну, завжди слід дотримуватися духу децентралізації, що повинно стати основним принципом розвитку індустрії блокчейну. Лише таким чином можна насправді побудувати безпечну та надійну екосистему Децентралізовані фінанси.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
6
Поділіться
Прокоментувати
0/400
GetRichLeek
· 5год тому
у блокчейні дані вже давно викрили ризики, щодня мріють про багатство, але всіх обдурюють, як лохів.
Переглянути оригіналвідповісти на0
SolidityNewbie
· 23год тому
Закрита позиція так багато, то не важливо щодо безпеки?
Переглянути оригіналвідповісти на0
MetaverseLandlord
· 23год тому
yfi знову отримав удар, хто ще наважиться увійти в позицію?
Переглянути оригіналвідповісти на0
RegenRestorer
· 23год тому
Ще й справді дірка... Гаманець сховайте краще, сім'я
Переглянути оригіналвідповісти на0
ZKSherlock
· 23год тому
насправді... досить передбачувано. відсутність належної криптографічної верифікації в кредитних пулах була яскравою вразливістю з першого дня *sigh*
Переглянути оригіналвідповісти на0
MultiSigFailMaster
· 23год тому
Йо, YFI теж не витримав. Треба було раніше сказати, що термінові позики рано чи пізно призведуть до проблем.
YFI зазнав флеш-атаки, безпека механізму цін Децентралізовані фінанси викликає підписатися
Проблеми безпеки Децентралізованих фінансів: аналіз інциденту атаки на YFI протокол
У сфері Децентралізовані фінанси безпека завжди була темою, яка викликала великий інтерес, але не отримала належної уваги. Незважаючи на те, що експерти опублікували безліч статей, щоб проаналізувати ризики екосистеми DeFi, відповідні проблеми все ще існують. На фоні постійного зростання інтересу на ринку та розширення обсягів ліквідності здається, що люди ігнорують приховані ризики, які ховаються під цим бурхливим зовнішнім виглядом.
YFI протокол遭受闪电贷攻击
На початку 2021 року колишній зірковий проект DeFi Yearn Finance став жертвою атаки з використанням миттєвих кредитів. Згідно з аналізом безпекових агентств, ця атака була націлена в основному на стратегічний пул DAI Yearn Finance, а зловмисник реалізував арбітраж через серію складних операцій.
Процес атаки приблизно такий:
Ця серія дій призвела до великих збитків для Yearn Finance.
Джерело проблеми: вразливий ціновий механізм
Основна проблема цього інциденту полягає не в самих闪电贷, а в крихкій ціновій механіці, що існує в DeFi-протоколах. Поєднання між певними протоколами використовує частки різних пулів для визначення ціни, і цей механізм легко піддається маніпуляціям.
Можна порівняти різні протоколи Децентралізованих фінансів з різними "країнами", кожна з яких має свої правила. Розумні "торговці" вивчають відмінності між цими правилами, щоб знайти можливості для арбітражу. Ця поведінка по суті є використанням встановлених правил для отримання вигоди, що важко просто звинуватити в атаках.
Помилки в розробці Децентралізованих фінансів
Нині багато розробників DeFi-протоколів надто зосереджені на швидкості та ефективності, ігноруючи суть блокчейну. Більшість людей обирають прагнення до швидкого розвитку, не бажаючи глибоко вирішувати основні проблеми.
Дизайн біткоїна підкреслює спільну перевірку транзакцій усіма вузлами; ця надлишкова складна система має на меті підвищення "достовірності", а не "доступності". Безпека мережі біткоїна зростає з розширенням потужності обчислень, хоча ефективність обробки не покращується відповідно.
У порівнянні, якщо механізм ціноутворення лише покладається на кілька "достовірних" вузлів або прості частки фондів для прийняття рішень, а користувачі не можуть ефективно їх перевірити, тоді ця ціна позбавлена справжньої основи консенсусу. Такий механізм суперечить децентралізованій суті блокчейну.
Шлях до децентралізованої безпеки
Стикаючись із цими викликами, деякі протоколи шукають більш децентралізовані рішення. Наприклад, деякі протоколи прагнуть створити механізм генерації цін, який не вимагає дозволу і може бути перевірений будь-ким. Цей механізм базується на системі нек cooperative гри, і з ростом кількості учасників якість цінових даних також буде відповідно покращуватися.
У умовах ефективного ринку гра між учасниками з боку покупців, включаючи котировальників, перевірювачів, протокол та взаємодію з вторинним ринком, спільно складає багатовимірну систему неконкурентної гри. Дані цін на блокчейні, що генеруються цією системою, є більш надійними та безпечними.
Дотримуючись децентралізованої сутності блокчейну, завжди слід дотримуватися духу децентралізації, що повинно стати основним принципом розвитку індустрії блокчейну. Лише таким чином можна насправді побудувати безпечну та надійну екосистему Децентралізовані фінанси.