À partir de l'analyse des événements d'attaque, découvrez comment nous traitons DeFi

Depuis 2019, DeFi est progressivement devenu un point chaud de la blockchain, et une grande quantité de fonds a commencé à être versée dans divers projets DeFi. Depuis l'émergence du projet Synthetix, les projets DeFi ont vu le jour. Cependant, avec le développement continu de DeFi, les problèmes de sécurité des projets DeFi deviennent de plus en plus urgents.

Lors du récent incident d'attaque de Balancer, l'attaquant a utilisé les failles de la combinaison du pool de fonds de Balancer et de la devise déflationniste pour voler 500 000 $ du pool de fonds. Moins de 24 heures plus tard, l'équilibreur a de nouveau été attaqué. L'attaquant a profité de la fonction "emprunter et exploiter" de Compound pour voler des pièces Comp non réclamées dans le pool de fonds.

Pour le premier incident d'attaque, nous l'avons déjà analysé auparavant, et les amis intéressés peuvent se déplacer vers

https://mp.weixin.qq.com/s/ZoqUgtcQ1WevhTgaUD-l_g

Across Protocol a réalisé un financement de 10 millions de dollars en Success Token pour une valorisation de 200 millions de dollars, et Hack VC et d'autres ont participé à l'investissement : News le 24 novembre, le pont inter-chaînes Across Protocol a réalisé un financement de 10 millions de dollars pour une valorisation de 200 millions de dollars, HackVC, Placeholder et Blockchain Capital ont participé à l'investissement, notamment sous la forme de ces trois institutions de capital-risque achetant 50 millions d'ACX à RiskLabs selon le plan SuccessToken.

Chaque jeton expire le 30 juin 2025 et renvoie 1 ACX et 1 option d'achat ACX au prix de 0,50 USD. À l'expiration, les investisseurs recevront 1 ACX en plus de la valeur de l'option d'achat ACX. ACX. Success Token est une solution de levée de fonds proposée par UMA, un protocole d'actifs synthétiques, qui permet de lever des fonds sans remises Token. [2022/11/24 8:02:41]

En ce qui concerne le deuxième incident d'attaque, l'auteur pense que le comportement de l'attaquant se situe quelque part entre arracher de la laine et une attaque illégale, et il ne peut pas être déterminé qu'il s'agit d'une attaque illégale.

Le portefeuille non dépositaire Omni réalise un financement de 11 millions de dollars : le 7 septembre, le portefeuille non dépositaire Omni a réalisé un financement par actions de 11 millions de dollars pour une valorisation de 50 millions de dollars. Les investisseurs participants incluent Spartan Group, GSR Ventures et Eden Block, ainsi que OP Crypto , Shima Capital, Kosmos Ventures, Daedalus Angels, PrimeBlock Ventures, Figment Capital, Lattice Capital et Chorus One, le cycle s'est clôturé en mai. Selon le fondateur d'Omni, Serafin Lion Engel, l'accord de financement est accompagné d'un accord lié au jeton.

Omni était auparavant connu sous le nom de Steakwallet.Le portefeuille a une fonction de mise de liquidité intégrée et aide également les utilisateurs à transférer des jetons via des ponts inter-chaînes. Omni prévoit de prendre en charge zkSync et StarkNet à l'avenir. (Le Bloc)[2022/9/8 13:15:04]

D'une part, l'attaquant a en effet violé le concept de la conception du contrat Balancer, et utilisé les failles de code dans le Balancer pour voler des avantages qui ne lui appartenaient pas.

Les frais de gaz pour chaque transaction sur le réseau Arbitrum atteignent 0,41 USD : Golden Finance News, les données L2Fees montrent que les frais de gaz moyens actuels pour chaque transaction sur le réseau Arbitrum sont d'environ 0,41 USD, et les frais de gaz pour l'envoi d'ETH sur le réseau Arbitrum est d'environ 0,25 USD. [2022/7/25 2:35:27]

Mais d'un autre côté, les fonds volés par l'attaquant ne sont pas le principal du pool de fonds, mais les bénéfices générés par la fonctionnalité "emprunter c'est miner" de Compound, et même si l'attaquant n'attaque pas, le contrat Balancer lui-même n'est pas raisonnable. distribue l'argent aux utilisateurs.

C'est comme si un supermarché produisait des cartons vides tous les jours. L'entreprise n'a pas de règles claires sur la façon de les traiter. Généralement, une fois qu'ils sont entassés dans une certaine mesure, un employé qui les trouve les vend et l'employé en retire des avantages. . A cette époque, un étranger est venu, il a découvert que ces cartons pouvaient générer des bénéfices, il est donc allé chercher des employés, après avoir vendu les cartons, il est parti immédiatement et est allé au suivant. Après le deuxième incident, l'officiel de Balancer n'a pas pris de mesures de réparation relatives, ce qui a également montré indirectement l'attitude de l'officiel.L'officiel peut être plus enclin à ce genre de comportement de "balayer la laine".

Point de vue : Même si l'économie américaine ralentit ou décline, il est peu probable que la Fed arrête son resserrement : Selon les informations du 15 juin, avec la publication de données montrant que l'inflation américaine en mai a dépassé les attentes, les inquiétudes du marché concernant le resserrement de la Fed ont une fois à nouveau réchauffé. Il y avait une "théorie de l'inflation maximale" sur le marché auparavant, mais cette prédiction a été complètement renversée lorsque l'IPC américain en mai a dépassé les attentes à la fois d'une année sur l'autre et d'un mois sur l'autre. L'inflation élevée aux États-Unis durera longtemps et diminuera lentement. Les politiques de resserrement de la Fed telles que l'augmentation des taux d'intérêt et la réduction des bilans affecteront la demande et n'auront que peu d'effet sur l'atténuation de la pression inflationniste provoquée. par des chocs d'offre. Suite à l'expérience de la période de stagflation dans les années 1970, la Fed pourrait devoir payer le prix d'un ralentissement économique ou d'une récession pour freiner l'inflation. Même si l'économie américaine ralentit ou décline, il est peu probable que la Fed arrête son resserrement. (Golden Ten)[2022/6/16 4:30:13]

Dans cet incident, un total de trois projets DeFi ont été impliqués. Équilibreur, dydx et composé.

La marque automobile coréenne Kia lance le NFT, qui sera vendu sur Clip Drops : le 24 mars, la marque automobile coréenne Kia vendra sa série NFT sur le marché NFT Clip Drops du 26 mars au 1er avril. Cette série NFT utilise six œuvres de "Kia EV NFT" produites en interne par son équipe de véhicules électriques, dont EV6, le concept-car EV9 et Niro EV. (Nouvelles)[2022/3/24 14:15:05]

DeFi signifie "finance décentralisée" en chinois. Il vise à utiliser la technologie blockchain pour compléter des fonctions telles que le prêt, le stockage et le paiement dans la finance traditionnelle, raccourcir le temps de transaction dans les transactions financières, réduire les frais de transaction et résoudre les difficultés transfrontalières.

À l'heure actuelle, les projets chauds sur DeFi incluent Compound, Maker, dydx, etc., comme le montre la figure ci-dessous :

Dans les projets de DiFi, de nombreux outils de l'industrie financière traditionnelle sont directement déplacés vers la blockchain, tels que le prêt et le stockage. Mais la blockchain est très différente du monde réel, et leur logique sous-jacente est différente.

Par exemple, dans le domaine financier traditionnel, le « crédit » est la condition fondamentale du crédit, et les banques évalueront le crédit d'une personne pour déterminer si elles peuvent lui prêter. Dans le monde fermé de la blockchain, en raison de la confidentialité de la blockchain, l'adresse ne peut pas être associée à une personne et il n'y a pas d'attribut "crédit". Si vous souhaitez obtenir un "crédit", vous devez disposer d'un oracle pour obtenir des informations du monde réel.

Mais c'est précisément à cause de la différence entre la blockchain et le monde réel que DeFi peut réaliser certaines fonctions qui ne peuvent pas être réalisées dans le monde réel.

Lors du premier incident de balancer, l'attaquant a utilisé dydx pour emprunter 30 millions de dollars américains, mais n'avait besoin d'aucune garantie. Ceci est impossible dans le domaine financier traditionnel. Les méthodes de prêt dans le domaine financier traditionnel utilisent "l'hypothèque d'actif" ou "l'hypothèque de crédit" comme moyen d'éviter les risques de prêt, mais en raison des caractéristiques de la blockchain, cela peut être réalisé. transaction est annulée, il est donc possible de réaliser 0 garantie pour un emprunt à grande échelle.

dydx permet aux utilisateurs de faire un prêt important sans garantie, et l'utilisateur n'a besoin de rembourser le prêt qu'en une seule transaction. Si l'utilisateur ne rembourse pas le prêt après une transaction, la transaction sera annulée et l'argent dépensé pourra être récupéré, évitant ainsi le risque principal. Bien que le prêt doive être remboursé en une seule transaction, le contrat intelligent permet à l'utilisateur d'effectuer plusieurs opérations en une seule transaction.Dans cette transaction, l'utilisateur peut acheter une grande quantité de certains jetons à bas prix et les revendre à un prix élevé. Même si la différence de prix est très faible, des rendements considérables peuvent être obtenus sur la base d'un capital énorme. S'il est placé dans le domaine financier traditionnel, il est généralement difficile de réaliser ce genre d'opération. Mais avec Dydx, n'importe qui peut obtenir cette "énorme somme d'argent".

Il y a toujours deux facettes à l'émergence de nouvelles choses : si les prêts flash dydx offrent la possibilité aux gens ordinaires d'utiliser d'énormes sommes d'argent, ils aident également les pirates qui se cachent dans l'obscurité. Tout comme Balancer a été attaqué pour la première fois, s'il n'y a pas de dydx, le pirate doit lever une énorme quantité de principal afin d'évacuer les jetons déflationnistes dans le pool de fonds, sinon l'attaque ne sera pas possible.

Dans la finance traditionnelle, les utilisateurs doivent payer des frais de gestion à des agences de gestion tierces pour équilibrer leurs propres actifs et protéger la valeur des actifs. Mais l'émergence de Balancer a brisé cette situation et les propriétaires d'actifs peuvent protéger la valeur de leurs actifs en facturant des frais.

Balancer permet aux utilisateurs de créer leur propre pool de fonds et de mettre leurs propres actifs différents dans le pool.Lorsque les prix du marché de différents actifs changent, la différence de prix formée incitera les arbitragistes à échanger dans le pool de fonds, de sorte que les fonds du pool de fonds Le contenu des différents jetons atteint un équilibre. Les arbitres obtiennent des avantages grâce à un comportement d'arbitrage, et les propriétaires de fonds équilibrent ainsi les valeurs des actifs.

En supposant qu'il y a deux jetons, DAI et WBTC, dans un pool de fonds, lorsque le DAI s'apprécie à l'extérieur, le ratio de DAI sur WBTC diminuera, ce qui incitera les arbitragistes à échanger leur WBTC en DAI dans ce pool de fonds jusqu'à ce que les fonds Le ratio d'échange du pool est le même que celui de l'extérieur, ce qui fait augmenter les avoirs DAI dans le pool de fonds et la valeur globale diminue. Lorsque le DAI se déprécie en externe, cela incitera les arbitragistes à convertir leur DAI en WBTC, car ils détenaient auparavant une grande quantité de DAI et la valeur globale a de nouveau augmenté. Après les opérations continues des arbitragistes, un solde est toujours maintenu dans le pool de fonds.

Il n'y a pas beaucoup de problème avec le modèle de pool de fonds de Balancer, mais cela causera des problèmes lors de la rencontre de jetons spéciaux tels que la devise déflationniste ou le composé. Le noyau du pool de fonds Balancer est le taux de change changeant. Dans des circonstances normales, ce ratio changera avec l'entrée et la sortie de différents jetons, de sorte que le montant dans le pool peut atteindre un équilibre. Cependant, lorsque vous rencontrez des devises spéciales telles que monnaies déflationnistes ou composé, les données d'entrée et de sortie auront des erreurs avec les données utilisées pour calculer le ratio.Cette erreur permet aux attaquants d'attaquer et de faire des profits.

Il n'est pas difficile de voir à partir des deux projets ci-dessus que DeFi ne consiste pas simplement à déplacer le système financier du monde réel vers la chaîne. En raison de la différence dans la couche inférieure, DeFi peut faire beaucoup de choses que le système financier réel ne peut pas faire, comme les prêts sans hypothèque, les transferts de fonds transfrontaliers et d'autres fonctions très prometteuses. Mais il y a encore de grands risques et problèmes qui l'accompagnent, comme comment communiquer avec le monde réel, comment obtenir l'approbation du gouvernement et comment résoudre les problèmes de sécurité.

"Donnez-moi un point d'appui, et je peux déplacer la terre." Par rapport à la finance traditionnelle, la couche inférieure de DeFi repose sur des contrats intelligents, qui sont essentiellement des programmes.. Les programmes ont une efficacité et une commodité incomparables par rapport à la finance traditionnelle, mais il existe également des failles de code que la finance traditionnelle n'a pas besoin de prendre en compte. Si les pirates trouvent un tel "point d'appui" dans le contrat intelligent, ils peuvent facilement exploiter des dizaines de millions d'actifs.

Par conséquent, Chengdu Lianan recommande aux lecteurs de traiter DeFi de manière rationnelle, de choisir des projets sûrs et prometteurs pour un investissement rationnel, de faire un bon travail de recherche avant d'investir et d'être vigilant sur les projets qui n'ont pas divulgué de contrats intelligents et de rapports d'audit.

Tags：

Prix Ethereum USD