Incluso si es atacado, ¿por qué el protocolo DeFi puede "volver a soplar el viento de primavera"?

Título original: Incluso si el protocolo DeFi es atacado, ¿"renacerá" pronto?

Para el desarrollo de DeFi, el riesgo de ataques a la seguridad no puede tomarse a la ligera. Debido a esto, los conservadores nunca invertirán una gran cantidad de activos en la participación de DeFi. La analista de Messari, Mira Christanto, señaló en un análisis que el crecimiento de la industria en su conjunto tiene un mayor impacto en los protocolos DeFi que un solo ataque. Parece que después de ser atacados, los protocolos DeFi son relativamente rápidos para "resurgir de nuevo", lo que puede ser una manifestación de un campo en auge con una alta tasa de tolerancia a fallas. Para los campos emergentes, tal vez deberíamos ser más cautelosamente optimistas.

El siguiente es el texto original del análisis:

Aunque muchos proyectos DeFi han aprendido de los errores del pasado y la frecuencia de los ataques de vulnerabilidad se ha ralentizado, la escala de los piratas informáticos ha ido en aumento. Hace poco más de una semana, DeFi experimentó la brecha más grande de su historia, con Alpha Homora perdiendo $37.5 millones en el incidente.

¿Es esto necesariamente algo malo?

Sería injusto acusar a DeFi de ser particularmente riesgoso. Incluso Bitcoin tenía errores en sus primeros días que los desarrolladores principales debían corregir. Por ejemplo, en agosto de 2010, un bloque contenía 92 000 millones de BTC; en marzo de 2013, la versión 0.8 del núcleo de Bitcoin era incompatible con la versión anterior; el hashrate superó brevemente el 50 % de la red, lo que provocó que los pools de minería se comprometieran voluntariamente a reducir su participación en la red

Si el protocolo DeFi quiere tener un valor de cientos de miles de millones o incluso billones de dólares, debe pasar la prueba real. Los ataques anteriores pueden verse como programas de recompensas, lo que reduce el riesgo de que DeFi se vuelva "demasiado grande para fallar". Cada vez que ocurra un ataque, el protocolo tomará la seguridad como primera consideración. También lo hará el próximo truco.

Kraken está agregando soporte para las subastas de parachain de Kusama: Golden Finance informa que antes de la primera ronda de subastas realizada por Kusama, el intercambio de criptomonedas Kraken está agregando soporte para las subastas de parachain. Un portavoz de Kraken dijo el martes que el período de financiación colectiva ya está abierto y que los usuarios pueden contribuir con tokens KSM a sus proyectos favoritos. La subasta de paracaídas de Kusama comenzará el 15 de junio. [2021/6/9 23:22:53]

Los siguientes son los principales ataques en los últimos años:

Un ataque de vulnerabilidad es un evento negativo, pero cuando se ve en un contexto más amplio, la cantidad involucrada es insignificante. Desde julio de 2019, la cantidad total perdida en los ataques es de 285 millones de dólares. La cantidad promedio perdida por pirateo y falla de contrato fue de $ 12 millones. La pérdida diaria promedio es de $20,000.

Desde julio de 2019, las pérdidas por ataques promediaron el 0,3 % del TVL de la industria para el día. Desde la explosión del verano DeFi, la pérdida esperada del protocolo debido a un ataque o falla es solo del 0,1 %.

La relación promedio del monto de las pérdidas al TVL del acuerdo fue del 9%. La mayoría de los protocolos congelan los fondos de capital en riesgo. Sin embargo, el mercado reaccionó de manera muy sensible al ataque, y la reacción (que el cambio en TVL) fue mucho mayor. El TVL de un protocolo (en términos de volumen de activos) cayó un promedio de 39 % el día posterior al ataque, y el precio total de los activos bloqueados también cayó un 31 %; en el mes siguiente, el precio se recuperó en un promedio de 5 %, en comparación con la fecha del ataque inicial, TVL todavía está un 31% por debajo. Ahora, sin embargo, TVL por acuerdo y precio han subido un promedio de +215 % y +133 %, respectivamente, en gran parte debido al crecimiento de los activos en toda la industria. Por lo tanto, el crecimiento de toda la industria tiene un impacto mayor que un solo ataque.

El método de ataque más probable es una combinación de oráculos y préstamos rápidos. Las fallas de código fueron la tercera vulnerabilidad más común, representando el 23%.

Oráculos: entre los proyectos de red de oráculos descentralizados, Chainlink se ha convertido en la opción de facto para los proyectos que buscan subcontratar oráculos. Seleccionan feeds de múltiples fuentes de datos y hacen que sea más difícil y costoso manipular los datos de referencia.

Préstamos relámpago: Lanzar un ataque de préstamo relámpago no requiere necesariamente una gran cantidad de fondos, pero habrá grandes ganancias cuando el ataque tenga éxito. Ha habido llamadas para desactivar la función de préstamo flash. Sin embargo, en una comunidad descentralizada, no podemos cancelar o prohibir un producto. Si hay una demanda de préstamos flash, el protocolo proporcionará las funciones principales. Nuevamente, estos ataques serían posibles (aunque más costosos) sin préstamos rápidos. Se puede decir que los préstamos flash han expuesto las debilidades de seguridad antes de que ingrese una mayor liquidez a DeFi.

Un tercio de los atacantes devolvió todo o parte de sus fondos por razones éticas o legales. Un atacante devolvió $50 000 a un usuario que se declaró culpable después de perder $100 000 en un ataque; en otro ejemplo, un atacante devolvió $8 millones después de perder $15 millones en un ataque a Eminence Finance; posiblemente se debió a la opinión moral de la comunidad de que el original El fundador de Sushiswap se disculpó y devolvió $14 millones. Estos pueden convertirse en ejemplos de personas que justifican a los atacantes y, desde una perspectiva global, ayudan a todo el ecosistema DeFi a ser más resistente a los ataques al exponer vulnerabilidades.

Hay varias formas de evitar la volatilidad que provocan los exploits y conseguir que estos think tanks (los que lanzan a los atacantes) y el protocolo estén del mismo lado:

1. Cree un programa de recompensas por errores incentivado. Hacerlo beneficiaría la seguridad del ecosistema sin miedo, pánico o volatilidad de precios a corto plazo.

2. Proporcionar subvenciones y poderes de gobierno en el programa de recompensas, permitiendo que los think tanks ayuden juntos al protocolo;

3. Reclute auditorías de terceros y hackers de sombrero blanco. Aunque muchos protocolos usan este método, es difícil para los auditores verificar todos los posibles métodos de ataque. Además, desde la perspectiva de los beneficios económicos, atacar el protocolo puede ser incluso más gratificante que auditar el código. Además, si los auditores pasan por alto algunas lagunas, no serán sancionados financieramente;

4. Proporcionar seguro. En este sentido, Nexus Mutual es pionera basada en Ethereum, que brinda protección para riesgos de contratos inteligentes, gobernanza impulsada por la comunidad y reclamos de seguros. Yearn se asoció con Nexus Mutual para lanzar yInsure antes de fusionarse con Cover Protocol en noviembre de 2020. Cover será el proveedor de seguros para el conjunto de productos de Yearn y otros protocolos DeFi.

Conclusión

DeFi no es para los débiles de corazón. El campo es cada vez más resistente a los ataques, pero el ritmo de desarrollo es tal que el dolor del desarrollo es inevitable. En la actualidad, se avanza en algunos trabajos para controlar el daño a la reputación de la industria y la pérdida de usuarios causada por el ataque. Los protocolos pueden comprar un seguro, o pueden responder ofreciendo "recompensas de errores como servicio". Hacerlo invita a las mejores mentes de la comunidad a contribuir, incentivándolos a desarrollar el protocolo, no a atacarlo.

Tags：

USDC