لقد تم تكريمنا مع “مزرعة غلة متدهورة” أكثر نموذجية ظهرت وغير ذات صلة هذا الأسبوع.
جمعت شركة Harvest Finance ما يصل إلى مليار دولار من القيمة الإجمالية التي تم تأمينها قبل أن يتسبب “استغلال اقتصادي” في انهيارها. يحوم مقياس قيمته المقفلة الآن حول 300 مليون دولار وآفاق الانتعاش تبدو قاتمة.
أعاد هذا الثغرة إشعال النقاشات بين أعضاء مجتمع DeFi حول ما إذا كانت هذه الأنواع من هجمات المراجحة القائمة على القروض السريعة هي في الواقع عمليات اختراق.
ميزات الحصاد تنتج أقبية زراعية مماثلة لخزائن Yearn. يقومون بإصدار أسهم خزينة رمزية بناءً على قيمة الأصول التي يوفرها المستخدمون. تعتمد بعض هذه الخزائن على تجمع Curve’s Y ، الذي يوفر السيولة للمبادلات بين USDT و USDC و DAI و TUSD.
استخدم الهجوم قروضًا سريعة لتحويل 17 مليون دولار أمريكي إلى USDC من خلال Curve ، مما رفع سعر USDC مؤقتًا إلى 1.01 دولار. استخدم المهاجم بعد ذلك مخزونًا آخر معارًا سريعًا بحوالي 50 مليون دولار أمريكي – والذي اعتبره النظام قيمته 50.5 مليون دولار – للدخول إلى قبو Harvest USDC.
بعد الدخول ، سيقوم المهاجم بعكس صفقة USDC السابقة مرة أخرى إلى USDT لتحقيق التوازن في السعر ، ثم استرداد أسهمهم في مجموعات Harvest على الفور لتلقي 50.5 مليون دولار أمريكي في USDC – ربح صاف قدره 500000 دولار لكل دورة يتكرر مرات كافية للحصول على 24 دولار مليون نهب.
فهل هذا اختراق أم لا؟
من الناحية الفنية ، لم تكن هناك نقاط ضعف هنا. كان هناك فحص تم تجاوزه لهذه الأنواع من “صفقات المراجحة” التي تكتشف ما إذا كان سعر هذه العملات المستقرة ينحرف كثيرًا عن قيمتها المقصودة. ولكن تم ضبطه بالفعل على مستوى منخفض جدًا وهو حقًا مصدر إزعاج خفيف أكثر من مانع فعلي – يحتاج المهاجم فقط إلى استخدام المزيد من دورات الاستغلال.
وبهذا المعنى ، فإن مؤيدي النظرية القائلة بأن هذه مجرد تجارة للمراجحة هم على حق – لا يوجد سلوك غير مقصود في الكود ، إنه أشبه بتلاعب في السوق كسلاح يتكرر بسرعة.
ومع ذلك ، فقد تولى فريق Harvest Finance مسؤولية ذلك باعتباره عيبًا في التصميم ، وهو أمر يستحق الثناء.
بصراحة ، لست متأكدًا حتى من مغزى هذه المناقشات الدلالية. خسر الناس المال بطريقة يمكن تفاديها. يجب أن يكون التدقيق قد اكتشف هذا ووضع علامة عليه باعتباره مشكلة حرجة.
ولكن من المؤكد أن هناك حالة يجب إثباتها بأنها فئة مختلفة عن الأخطاء مثل إعادة الدخول. إنه يسلط الضوء على أن هذه اللبنات المالية – التي يشار إليها غالبًا باسم “money Lego” – يجب تصميمها بعناية فائقة في لوحة الرسم.
يبدو الأمر كما لو أن شخصًا ما صنع مسدسًا من أجزاء Lego وكان الناس يتجادلون حول ما إذا كان المسدس “تم إنشاؤه” أو “اكتشافه” لأن الأجزاء تم تجميعها تقنيًا حسب التصميم. في كلتا الحالتين ، يجب إعادة صياغة أجزاء Lego بحيث لا تصبح سلاحًا فتاكًا.
ثقة كبيرة جدًا في معايير التشفير
قبل الاختراق ، كانت Harvest ملحوظة لدرجة شديدة من المركزية. في أيام مجدها ، كان من الممكن سرقة كل المليار دولار عن طريق عنوان واحد ، على الأرجح تحت سيطرة الفريق المجهول وراء المشروع. سلطت عمليتان تدقيقان الضوء على هذه الحقيقة ، مما أوضح أيضًا أن العنوان كان قادرًا على ترشيح سك العملة وإنشاء الرموز المميزة حسب الرغبة.
دافع المعجبون عن المشروع بقوة ، قائلين إنه بسبب قفل الوقت ، يمكن لأصحاب مفاتيح الحكم سرقة الأموال فقط بعد 12 ساعة من الإشارة إلى نواياهم ، أو أنه يمكنهم فقط طباعة عدد محدود من الرموز.
سأدعك تكون الحكم على تلك الحجج. النقطة الأوسع هي أنه في البحث عن العائد ، يتجاهل هؤلاء “الانحطاط” المبادئ الأساسية للامركزية ، وكما تعلمون ، ما هو DeFi.
وأنا لا أقول أنه سيء بسبب بعض المبادئ المثالية لدي. إنه بسبب شد البساط. هذه هي الظروف الدقيقة التي أدت إلى كوارث مثل UniCats.
القصة المجنونة لـ bZX
بالحديث عن الاختراقات ، كان من دواعي سروري إجراء مقابلة مع فريق bZX حول عامهم الرهيب. لقد عانوا من ما مجموعه ثلاث عمليات اختراق خلال عام 2020 ، على الرغم من أن بعض هؤلاء بالتأكيد يشبه “المآثر الاقتصادية” المذكورة سابقًا.
الفريق لا شيء إن لم يكن مكرسًا. إحدى القصص التي لم تصل إلى المقال هي كيف قفز كايل كيستنر السياج في منتصف الليل واقتحم المجتمع المسور حيث يعيش المؤسس المشارك توم بين. يبدو أن هناك خطأ يجب إصلاحه حرفيًا في أسرع وقت ممكن.
انطلاقا من القصة ، كونك مطور DeFi ليس لضعاف القلوب ، ولا للأشخاص الذين يحبون النوم.
بالطبع ، لا يسع المرء إلا أن يلاحظ أن bZX قد تم استغلاله كثيرًا. بصفتي صائدًا سابقًا لمكافأة الأخطاء ، تمكنت بالتأكيد من رؤية كيف كانت ممارساتهم الأمنية دون المستوى في وقت سابق من العام – كان برنامج مكافأة الأخطاء سيئًا للغاية ، على سبيل المثال – لكنني رأيت أيضًا كيف قاموا بتصحيح العديد من أخطائهم. ربما تكون هناك مشكلات أساسية أخرى ، لكنني أعتقد أنها يمكن أن تتعافى في النهاية إذا لم تحدث المزيد من الحوادث.
تهديد DeFi إلى Staking
يسلط تقرير ConsenSys الضوء على مشكلة تم تجاهلها نوعًا ما حتى الآن ، وهي في الأساس تكلفة الفرصة البديلة للمخازن في بيئة DeFi.
الفكرة بسيطة للغاية: يطارد المال أعلى العائدات ، ويبدو أن DeFi تقدم الكثير منها هذه الأيام. حتى شيء مروض نسبيًا مثل 20٪ APY يمكن أن يتفوق على 8٪ المحتملة أو نحو ذلك من Staking والتحقق من صحة Ethereum 2.0.
تتفاقم هذه المشكلة أكثر عندما تفكر في أن المرحلة 0 من Ethereum لن تسمح لك بسحب أو نقل الرموز التي التزمت بها حتى تأتي المرحلة 1 أو 2. أنت تراهن أساسًا على أن الفريق سيشحن تنفيذًا كاملاً في إطار زمني معقول ، وأنت لا تحصل حقًا على الكثير من المكافآت مقابل المخاطرة.
في هذا السيناريو ، كلما كان DeFi أكثر شيوعًا ، كلما كانت الشبكة أقل أمانًا ، وهذه مشكلة كبيرة.
لحسن الحظ ، يمكن حلها إلى حد كبير من خلال مشتقات Staking – الرموز السائلة المدعومة بضمانات مستخدمة للتخزين ، نوع من إيثر IOU. هناك مخاطر متضمنة – وهي أن الضمانات الأساسية يمكن أن تنخفض وستصبح قيمة سندات دين أقل فجأة. الشيء الجيد بالنسبة للشبكة هو أن DeFi هو الوحيد الذي يتأثر في هذه الحالة ، مما يعيد إنشاء التسلسل الهرمي الطبيعي للأهمية.
لكن هذا يسلط الضوء على عدد التفاعلات غير المقصودة التي يمكن أن تحدث في المستقبل. يمكن أن يصبح DeFi بالفعل معقدًا للغاية ، وإذا لم يفهمه الناس تمامًا ، فقد تكون العواقب وخيمة.
