Децентралізовані фінанси безпеки проблеми все ще потребують високої уваги

З лютого 2020 року в секторі Децентралізованих фінансів було втрачено сотні мільйонів доларів. Незважаючи на те, що експерти індустрії провели численні аналізи ризиків модульної архітектури DeFi, розробники, здається, все ще недостатньо серйозно ставляться до цієї проблеми. На фоні постійного буму на ринку та зростання обсягу заблокованих активів, люди, здається, забули про приховані ризики, які все ще існують під поверхнею процвітання.

Протокол Yearn Finance зазнав атаки

На початку 2021 року колишній лідер проектів Децентралізовані фінанси Yearn Finance зазнав атаки через миттєвий кредит. Згідно з аналізом безпекових агентств, нападник націлився на DAI стратегію пулу Yearn Finance. Процес атаки виглядав приблизно так:

1. Отримати велику кількість ETH через кредитні платформи за допомогою блискавичного кредиту
2. Використовуючи позичений ETH, позичити DAI та USDC в Compound
3. Вкласти більшу частину коштів у пул DAI/USDC/USDT Curve, контролюючи більшу частину ліквідності.
4. Маніпулювати пропорціями токенів у пулі, щоб DAI відносно знецінювався
5. Використовуючи дисбаланс цін, внести DAI в стратегічний пул Yearn, щоб отримати токени 3CRV
6. Відновлення балансу пропорцій токенів у пулі
7. Викликати виведення з Yearn стратегії пулу, що призводить до отримання меншої кількості DAI за таку ж кількість 3CRV
8. Через контроль більшості ліквідності, зловмисник отримав більшу частину DAI, яку Yearn не зміг повернути.
9. Після кількаразового повторення вищезазначених кроків поверніть швидкий кредит, завершивши арбітраж.

Цей напад призвів до збитків Yearn Finance у розмірі до десятків мільйонів доларів.

Корінь проблеми полягає у слабкому ціновому механізмі

Комбінація YFI та Curve використовує різні чисті вартості LP часток для розрахунку часток, що, в свою чергу, визначає ціну. Ця механіка є легкою для маніпуляцій. Наразі різні DeFi протоколи подібні до різних країн, які встановлюють свої власні правила. Арбітражники ж шукають можливості для арбітражу, комбінуючи різні правила.

Глибокі проблеми, пов'язані з маніпуляцією цінами

На сьогоднішній день багато розробників Децентралізовані фінанси надто зосереджуються на швидкості та ефективності, нехтуючи сутністю блокчейну. Мережа біткоїна забезпечує безпеку через спільну верифікацію всіма вузлами, хоча ефективність не є високою, але це вирішує проблему довіри в умовах децентралізації.

Якщо механізм ціноутворення залежить лише від кількох "надійних" вузлів або простих часток LP, а користувачі не можуть ефективно перевірити це, то така ціна позбавлена основи для консенсусу. На цій основі онлайнові економіки також важко посилити безпеку із зростанням масштабу, що суперечить суті блокчейну.

Дотримуйтесь децентралізації та перевірюваності

Деякі децентралізовані протоколи наполягають на генерації цінових даних без арбітражного простору в ланцюгу, які можуть бути використані іншими Децентралізованими фінансами протоколами. Зі зростанням кількості учасників якість цінових даних в ланцюгу також покращиться. Саме ці цінові дані, що генеруються внаслідок багатосторонньої некооперативної гри, є безпечною основою, за якою варто прагнути.

Дотримання децентралізованої сутності блокчейну є основним принципом розвитку галузі. Лише екосистема Децентралізовані фінанси, що базується на консенсусі та верифікації, може справді досягти довгострокового стабільного розвитку.