Topic: DeFi - "Атаки" и Безопасность - page 15. (Read 10699 times)

Как по мне, то если умный хакер, он мог использовать не только возможности смартконтрактов, но и другие способы. А в этой ситуации как по мне, разработчики должны понести наказание 100%.

Может суть как раз таки в том, что слишком у многих есть лишние эфиры? Мы ведь все здесь понимаем, что 120к эфиров они только на экране 300-600 миллионов, на самом деле даже половина такой суммы высушит стакан полностью на всех биржах.
Поэтому есть много людей у которых есть такие суммы, а окешить они их не могут. Вот и играются помощью стартапам, в надежде на развитие инфраструктуры и увеличение продаж.


Я такое видел. На микро бизнесах правда

Так а почему бы и нет? Если все равно некуда деть эти 120к эфиров.


Оно все дутое

Спасибо Daltonik

4 Февраля 2022
KLAYswap   $1,83 M
https://bitcointalksearch.org/topic/m.59153910

8 Февраля 2022
DeFi Meter   $4,3 M
https://bitcointalksearch.org/topic/m.59189702

8 Февраля 2022
DeFi QiDao Protocol  $13 M
https://bitcointalksearch.org/topic/m.59191163

11 Февраля 2022
Dego  ущерб оценивается
https://bitcointalksearch.org/topic/m.59218259


Эта статья перенесена из шапки для увеличения места
За эти полгода экосистема развилась и произошло много интересных событий.
Если говорить об атаках, то это не совсем правильно. Система очень надежна и "относительно" децентрализована, но основной минус это последствия ошибок в смартконтрактах.
Много проектов связаны между собой этими контрактами, и малейшая ошибка может вызвать серьезные потери - это и есть обратная сторона медали децентрализации.

Хакеры дважды атаковали сервис bZx. Похищено Ethereum на сумму в $1 млн
https://bitnovosti.com/2020/02/18/hakery-dvazhdy-atakovali-servis-bzx-pohishheno-ethereum-na-summu-v-1-mln/

Это один из первых случаев в 2020 году, когда "мошенники" воспользовались ошибками смартконтракта.

Более подробную информацию я нашел на этом ресурсе
https://thedefiant.substack.com/p/arbs-exploit-defi-to-make-900k-in
Camila Russo(С)

Далее последует смысловой перевод

Exploit DeFi или как заработать $ 900 000 за секунды
Атака на bZx стала первой крупной атакой в ​​децентрализованных финансах.

Сегодняшний выпуск будет посвящен эксплойтам bZx - первым крупным «атакам» в DeFi. Вы увидите, почему атаки заключены в кавычки. А также, почему в результате были подняты вопросы о том, является ли DeFi достаточно децентрализованным Обсудим потенциальные точки отказа, связанные с ценовыми оракулами.


Протокол bZx DeFi был атакован дважды; первая атака была 12 февраля и принесла хакерам ~ 1271 ETH, а вторая 17 февраля, потери составили ~ 2378 ETH. Это примерно 320 000 и 600 000 долларов, при курсе  ETH - 250 долларов.

Простыми словами, в обоих случаях "трейдеры" взяли так называемые флэш-кредиты, которые не требуют залогового обеспечения, использовали часть средств для открытия длинных или коротких позиций по активу и другую часть заемных средств для покупки крипто-валюты на неликвидных рынках для повышения цен таким образом, чтобы выиграть их длинную или короткую позицию.

Эти эксплойты использовали пять протоколов DeFi в первом случае, четыре во втором. Оба они были выполнены в рамках одной транзакции Ethereum продолжительностью около 15 секунд каждая, и в первом случае комиссионные платежи в сети о стоили 8,21 $, а во втором - 110 $.

Вот как они это сделали





Фигурки LEGO и 2 лица
Есть несколько замечательных вещей, чтобы сказать об этих атаках. Во-первых, они подчеркивают всю мощь сочетаемых финансовых продуктов или так называемых «money legos»( Это философия системы DeFi для создания максимальной совместимости между продуктами.Подробнее тут. ) Трейдеры смогли осуществить эти эксплойты, потому что система очень легко взаимосвязана.

Кредит на одной кредитной платформе используется для открытия 5-кратного шорта на другой торговой платформе. Одна биржа забирает ликвидность у второго провайдера. Цены в одном месте влияют на контракты в другом. Это может быть использовано для создания более быстрых, дешевых и более инновационных финансовых продуктов. Но повышенная сложность также увеличивает потенциальные атаки и усложняет защиту системы. Это интересный процесс, как разработчики защищают экосистему и предотвращают эти атаки.

Поиск виновных
Существует мнение, что быстрые кредиты  являются опасными инструментами, которые могут применятся для злоупотреблений.

В случае первого эксплойта возникла ошибка в коде bZx, которая позволяла хакеру открывать 5-кратную короткую позицию, которая была сильно не обеспечена после совершения сделки. Система не должна была этого допустить, но это произошло из-за ошибки в коде.

bZx использует рыночные цены от децентрализованной биржи Kyber Network. Многие, в том числе основатель Uniswap - Hayden Adams в интервью, указали, что использование текущих рыночных цен в отличие от решений, таких как средневзвешенные по времени, рискованно.

В то время как соучредители bZx Kyle Kistner и Tom Bean в одном из интервью сказали, что источник цены системы не оказал влияния на первый эксплойт,. В твите от аккаунта bZx говорится, что манипулирование оракулом вызвало вторую атаку. Они планируют внедрить оракулы Chainlink в качестве дополнения к ценам от Kyber Network. Отметим, что создатель Ethereum Виталик Бутерин заявил , что в запланированная 2 версия  проекта Uniswap  будет устойчива к этим атакам.

Сложно найти виноватых. Возможно злоумышленники знали как правильно использовать «money legos» DeFi, и воспользовались сочной арбитражной возможностью. Другой вариант заключается в том, что на самом деле это была атака, поскольку трейдер использовал ошибку в системе bZx, которая позволяла ему злоупотреблять протоколом.

Устранение повреждений

Команда bZx нашла способ эффективно «приостановить» некоторые функции протокола, чтобы уменьшить ущерб после обоих эксплойтов. Это даже при том, что система спроектирована так, что изменения состояния могут быть переданы только после 12-часовой задержки, предназначенного для оповещения пользователей в случае, если менеджеры злонамеренно манипулируют протоколом.

Но после применения первого эксплойта они удалили токены из белого списка в своем реестре oracle token, который прекратил торговлю и заимствование, так как это действие не было защищено временной блокировкой. Кредитование не пострадало.

Кроме того, чтобы предотвратить любые реализованные потери после первого применения эксплойта, bZx будет использовать залог, оставленный злоумышленником в протоколе, для продолжения обслуживания непогашенного кредита - по предположениям bZx, залог может продолжать выплачивать проценты в течение более чем 200 лет. Однако кредит не обеспечен, и в большинстве случаев он будет ликвидирован, а убытки будут реализованы, что отразится на кредиторах в протоколе. В этом случае он не был ликвидирован благодаря гарантии, которая позволяет руководству справляться с чрезвычайными ситуациями, когда маржин колл истощит весь страховой фонд системы.

“По правилам протокола, если обязательства превышают активы, то конфискация средств являются честной игрой, без какой-либо моральной двусмысленности”, - сказала команда bZx в своем посте.

bZx сказали, что это также «задержит реализацию потери» во второй атаке. Подробности пока не разглашаются.

bZx утверждает, что, хотя они нашли способ приостановить торговлю и решили конфисковать залог злоумышленников, это было в интересах их пользователей. Команда утверждает, что децентрализованная система управления, такая как DAO, приняла бы то же решение.

“De”  в DeFi
Критики говорят, что платформа DeFi, которая может быть приостановлена ​​ее управленческой командой по желанию, вообще не децентрализована. Основатель Litecoin Чарли Ли сказал: «Большинство DeFi могут быть закрыты централизованной командой, так что это просто  децентрализованный театр».

Итак, является ли DeFi полностью децентрализованным сегодня? Ответ - нет. Команды DeFi имеют разную степень контроля над своими платформами с такими мерами защиты, как:  временной буфер bZx и требование одобрения изменений несколькими сторонами. Только небольшое количество проектов не в состоянии взять односторонний контроль.

Тем не менее, пользователи по-прежнему лучше контролируют свои средства и информацию, чем в традиционных финансах и централизованных криптообменниках.  bZx может приостановить торговлю, но не может получить полный контроль над системой. Это разительное отличие от централизованных криптобирж, где пользователи должны доверять свои средства руководителям проекта, которые могут исчезнуть вместе с ними.

Другое отличие - прозрачность. В DeFi пользователи могут точно определить, где находятся их средства и как они могут быть использованы, так как код большинства платформ открыт. Именно поэтому аналитики смогли проанализировать, как взлом bZx произошел через несколько минут после того, как это было сделано.

Конечно, именно поэтому трейдеры смогли найти эксплойт в первую очередь. Тем не менее, большая сочетаемость, прозрачность при меньшем вмешательстве и контроле третьих сторон приведет к чистому позитиву для системы. Эти ошибки  в конечном итоге делают систему надежнее.

Не люблю считать чужие деньги, а еще больше сравнивать людей о которых мы практически ничего не знаем.

Мы можем лишь догадываться о людях стоящих за Wormhole, Jump Crypto и толщиной их кошельков. Вполне возможно, что они владеют несколькими проектами, и готовы использовать прибыль от остальных ради спасения Wormhole, т.к. он действительно является "важнейшей инфраструктурой" для построения их экосистемы.
 
В приведенной вами статье ясно написано, что Meta отказались от создания Diem из-за регуляторов и потери партнеров. По сути они продали идею, которую сами не могут воплотить в жизнь. 

А причин может быть много. И нет ничего плохого чтобы порассуждать о мотивах их поведения.
Прежде всего что наводит на разные мысли это то, что подчеркнул SPQRCoin - теряются гигантские суммы денег (0,3 миллиарда долларов!), которые предположительно составляют 95++% от капитализации стартапа, но разработчики не моргнув глазом "возмещают" средства и продолжают работать как будто ничего не произошло.
Для меня это нонсенс, я трудился в разных бизнесах и не могу представить какой-то легальный бизнес, который при потери 95% средств не обанкротится.
Соответственно возникает очень много вопросов - кто стоит за проектом? Люди с бесконечными деньгами? В чем ценность проекта что надо терять 0,3 миллиарда долларов, а не просто банкротить его?
Например, Meta Марка Цукерберга продала свой криптовалютный проект за $200 млн. У Meta деньги реально бесконечные, но при этом они не списали средства, не заморозили проект "на всякий случай" (обстановка быстро меняется), а продали его за 0,2 миллиарда долларов. То есть, проект от Meta дешевле в полтора раза чем какой-то там мост (который еще и рухнул как вы пишите)?
Для меня эта история выглядит максимально непонятно.

Я не люблю гадать на кофейной гуще. После произошедшего TVL их моста упал на 99%. У них было два пути, либо скамануться, либо обеспечить выпущенные средства и работать над безопасностью. Они выбрали второй путь и теперь пытаются восстановить репутацию. Лично я не вижу смысла в каких-либо манипуляциях с их стороны. 


Да они же сразу признали, что лопухнулись.

Как по мне то Wormhole что то мутную игру играют. Скорее всего сами виноваты, а потом пытаются запутать следы или же просто где-то разработчики допустили халатность. Вообщем версий много.

Потому они и исправили ситуацию, что в ином случае претензии были бы лично к ним, а не к хакерам. Мне кажется маловероятным, что они просто "благородные" и заплатили 0,3 миллиарда долларов со своего кармана только лишь из-за "важнейшей инфраструктуры и развития".


Скорее всего мальчик был, но то был мальчик инвесторов. Потом мальчика "украли", а разрабы "мамой клянутся обещают все исправить". Насколько разрабы аффилированны с "хакерами" вопрос очень интересный.


Предложение хилое. 300 миллионов >> 10 миллионов.
С учетом неопределенных правовых статусов DeFi и всех этих дел, можно быть уверенным, что даже если дело дойдет до суда, то истцу будет дешевле пойти на мировую и отдать хакерам половину (150 миллионов) чем рисковать судиться годами, и в итоге остаться вообще без ничего.

тоже не хилое предложение, 10 лямов $ заработать. за такие деньги можно всю жизнь прожить безбедно. может чел себе уже на необитаемом острове за их деньги, фундамент новой вилы заложил.😀

Какие все таки жирные барсуки все эти разрабы от сохи. Их хакают на десятки лямов баксов, а им хоть с гуся вода, все возместим, не переживайте А может в большинстве случаев мальчика то и не было?

Разрабы хакнутого моста Meter.io уже отписались, что нашли ошибку и работают над возвратом средств пострадавшим пользователям:
https://twitter.com/Meter_IO/status/1490045486606139392

Чет многовато стало проблем с этими мостами,... сегодня кто то наминтил 15,000 BNB($6,184,510.24) в сети монривер и уже всё слил через торнадо-кэш
https://etherscan.io/address/0x8d3d13cac607b7297ff61a5e1e71072758af4d01

Подробностей пока нет, но думаю, они скоро появятся.

Никто из пользователей моста не потерял средств, необеспеченные активы введенные в экосистему были обеспечены за счет виновников торжества, поэтому мне кажется, что обязательства со стороны Wormhole не могут быть нарушены. Сами накосячили - сами исправили ситуацию.

Wormhole опубликовали подробный отчет о недавнем инциденте - https://wormholecrypto.medium.com/wormhole-incident-report-02-02-22-ad9b8f21eec6.

А за что их сажать? Хакер использовал возможности смартконтрактов. Технические подробности тут https://twitter.com/kelvinfichter/status/1489041221947375616
Если искать виновных для посадки, то скорее всего это и будут сами разработчики, которые, в отличие от хакера, брали на себя определенные обязательства, но выполнить их не смогли (потеряли ETH).
Наверно поэтому:


а слова про "важнейшую инфраструктуру и развитие" лишь красивое прикрытие это истории. Я думаю, что они просто вынуждены были возместить эти 0,3 миллиарда долларов.

Мне кажется, что если хаккер вернет средства и укажет команде Wormhole на уязвимость, то вопрос решиться по обоюдному согласию и ему не будет грозить срок. Не думаю, что Wormhole подали заявление. Как вариант хаккер может возвратить средства и получить бонус не раскрывая свою личность, после чего прогнать средства через миксер и вообще забыть о преследовании, если таковое будет.

Полагаю непременно отнимут и посадят. Он же с полицией не договаривался, а этот возврат что-то типа явки с повинной немного срок может быть убавят. Как суд решит. Так что когда поймают то все по закону. Вроде пока что не вернул.

Почти ровно месяц прошел после его твита, и случился взлом десятилетия )). А что сразу не строят мульти-чейны вместо кросс-чейнов если будущее за ними..
Wormhole пытается сейчас выйти на связь с хацкером, вручить ему подарок в 10 лямов $  в обмен на честно свинченное и инфу о дыре в безопасности, вот интересно, если хацкер согласится, это типа обоюдное согласие, он вам, вы ему, если его поймает интерпол, эти 10 лямов отнимут ?
 

И что, что восстановили? Как это влияет на сказанное Виталькой выше, а? Он кстати довольно хорошо все объяснил. Если кроссчейновый канал биткоин-эфир имеет место быть (так как вероятность 51 % атаки что на биткоин что на эфир довольно низкая), то бриджи эфир-солана, солана-бнб, биткоин-красная_залупа как раз таки очень вероятно что будут атаковаться.

Восстановили уже пул ликвидности и работу кросс-чейна Wormhole, компания Jump Crypto, владеющая разработчиком Wormhole, вложила 120,000 ETH так как считает Wormhole важнейшей инфраструктурой и что ему и его пользователям необходимо дальнейшее развитие.
https://twitter.com/JumpCryptoHQ/status/1489301013408497666

Очередной молодой и успешный стартап 
Виталик, кстати критиковал идею "кросс чейна": "My argument for why the future will be *multi-chain*, but it will not be *cross-chain*: there are fundamental limits to the security of bridges that hop across multiple "zones of sovereignty"." - https://mobile.twitter.com/VitalikButerin/status/1479501366192132099
Советую читнуть кстати.