Проблемы безопасности Децентрализованных финансов все еще требуют серьезного внимания

С февраля 2020 года в области Децентрализованные финансы было потеряно несколько сотен миллионов долларов. Несмотря на то, что эксперты отрасли провели множество анализов рисков модульной архитектуры DeFi, разработчики, похоже, все еще не придают этому вопросу должного значения. На фоне продолжающегося бурного рынка и постоянно растущих объемов заблокированных средств, кажется, что люди забыли о скрытых рисках, которые по-прежнему существуют под поверхностью благополучия.

Протокол Yearn Finance подвергся атаке

В начале 2021 года бывший ведущий проект DeFi Yearn Finance столкнулся с атакой через флеш-кредиты. Согласно анализу безопасности, злоумышленник нацелился на стратегический пул DAI Yearn Finance. Процесс атаки примерно следующий:

1. Получите крупный ETH займы на платформе кредитования
2. Используйте заимствованный ETH для получения DAI и USDC в Compound
3. Вложите большую часть средств в пул DAI/USDC/USDT Curve, контролируя большую часть ликвидности
4. Манипулировать пропорциями токенов в пуле, чтобы DAI обесценивался.
5. Используйте несбалансированную цену для внесения DAI в стратегический пул Yearn, чтобы получить токены 3CRV
6. Восстановить баланс пропорции токенов в пуле
7. Срабатывание стратегии Yearn для вывода из пула приводит к тому, что за равное количество 3CRV можно получить меньше DAI.
8. Поскольку злоумышленник контролировал большую часть ликвидности, он получил большую часть DAI, которую Yearn не смог вернуть.
9. После многократного повторения вышеуказанных шагов верните заем в рамках мгновенного кредита и завершите арбитраж.

Эта атака привела к убыткам Yearn Finance в размере до десяти миллионов долларов.

Корень проблемы заключается в слабом ценовом механизме

Комбинация YFI и Curve использует различные чистые стоимости долей LP для расчета долей, что, в свою очередь, определяет цену; этот механизм легко поддается манипуляциям. В настоящее время различные Децентрализованные финансы (DeFi) протоколы похожи на разные страны, устанавливающие свои правила. Арбитражники ищут возможности для арбитража, комбинируя различные правила.

Глубокие проблемы, связанные с манипуляцией ценами

В настоящее время многие разработчики Децентрализованных финансов слишком сосредоточены на скорости и эффективности, игнорируя суть блокчейна. Сеть Биткойн обеспечивает безопасность за счет совместной верификации всеми узлами; хотя эффективность невысока, это решает проблему децентрализованного доверия.

Если ценовая механика зависит только от немногих "достоверных" узлов или простых долей LP, и пользователи не могут эффективно это проверить, то такая цена лишена основы консенсуса. На основе этого онлайнового экономического организма также будет трудно увеличить безопасность с увеличением масштаба, что противоречит сути блокчейна.

Придерживайтесь децентрализации и проверяемости

Некоторые децентрализованные протоколы настаивают на создании ценовых данных без арбитражного пространства на блокчейне, доступных для вызова другими Децентрализованными финансами (DeFi) протоколами. С увеличением числа участников качество ценовых данных на блокчейне также будет улучшаться. Эти ценовые данные, генерируемые многими сторонами в некооперативной игре, являются той безопасной основой, к которой стоит стремиться.

Соблюдение децентрализованной природы блокчейна является основным принципом развития отрасли. Только экосистема Децентрализованные финансы, основанная на консенсусе и проверяемости, может действительно достичь долгосрочного стабильного развития.