قبل تسعة أشهر ، في مركز مؤتمرات في دنفر ، جلس كشك فارغ.
كان من المفترض أن تحتوي الطاولة المليئة بالملصقات الرمزية على الممثلين الماديين لبروتوكول التمويل اللامركزي (DeFi) bZx. ومع ذلك ، ظل فارغًا ، حيث كافح الفريق لفهم القوى الرقمية التي تغير مشروعهم الصغير.
كان bZx ، كما سيكتشفون ، هو القرض العاجل لعام 2020 “المريض صفر”.
تظل القروض السريعة هي الخيط المشترك خلال كل تلك الهجمات الأخيرة. تتيح أدوات DeFi-native للمستثمر الذكي الحصول على قروض غير مدعومة وحشد الرافعة المالية خلف مركز. على سبيل المثال ، قام مهاجم بروتوكول Origin Protocol يوم الاثنين بسحب قرض بقيمة 70،000 ETH من منصة المشتقات اللامركزية dYdX. مكن المهاجم من زيادة كمية المسروقات الممتصة من المشروع.
ومع ذلك ، على الرغم من أنها قد تكون السلسلة التي تربط هذه المآثر ، إلا أن القروض السريعة ليست السبب في حد ذاتها ، كما قال قادة الصناعة لـ CoinDesk.
التلاعب بأوراكل والقروض السريعة
قد لا يكون من العدل حتى وصف مآثر DeFi الأخيرة بأنها “هجمات قروض سريعة” ، كما قال المؤسس المشارك لـ Chainlink سيرجيري نزاروف لـ CoinDesk في رسالة بريد إلكتروني.
قال نزاروف إن القروض السريعة في جوهرها هي مجرد مبالغ طائلة من رأس المال يتم إلقاؤها في مراكز تجارية ناجحة. تكمن المشكلة الحقيقية في مشاريع DeFi سيئة الإنشاء.
بينما يحاول الكثيرون تأطير هذا الاتجاه كنتيجة للقروض السريعة ، كان من الممكن أن يرتكب معظم هذه الثغرات من قبل أي جهة فاعلة ذات رأس مال جيد. كل ما يفعله القرض السريع هو أن يجعل أي شخص مؤقتًا ممثلاً ذا رأس مال جيد “.
اقرأ المزيد: كل ما تريد معرفته عن هجوم DeFi “القرض السريع”
مشاريع DeFi هي عقود ذكية يتم نشرها في Ethereum blockchain. إنها تتطلب معلومات خارجية ، أي بيانات التسعير ، لتنفيذ الإجراءات المخبأة في كل عقد.
معلومات التسعير هذه عرضة للتشوهات ببساطة بسبب كيفية حزم معاملات Ethereum blockchain – أي كل 15 ثانية. يمكن للأسعار أن تتحرك في كل اتجاه في 15 ثانية ، مما يفرض على العقود الذكية العمل على البيانات القديمة.
علاوة على ذلك ، تعتمد العديد من تطبيقات DeFi على أوراكل التسعير الداخلي التي تم إنشاؤها بواسطة احتياطيات الرمز المميز أو مواجز التسعير غير اللامركزية أو غيرها من الحلول المخصصة. على سبيل المثال ، اعتمدت Harvest Finance على مشروع DeFi آخر ، Curve Finance ، لتسعير مجموعات الرموز الخاصة بها.
في حالات مثل Harvest Finance ، أصبحت قابلية التشغيل البيني تبعية سلبية. أدى قرض سريع بقيمة 50 مليون دولار إلى انحراف أسعار الأصول مؤقتًا بعيدًا عن القيمة السوقية ، مما خلق فرصة للمراجحة. تقول النظرية إن المشروع الذي يحتوي على نظام تسعير أكثر قوة لم يكن ليقع فريسة للاستغلال.
هل المراجعات كافية؟
هناك نقطة أخرى يتعامل معها مطورو البرامج وهي أن عمليات تدقيق الكود وحدها لا تجعل مشروع DeFi آمنًا.
تحدث ريتشارد ما مع CoinDesk عبر Whatsapp ، قال الرئيس التنفيذي لشركة Quantstamp ، ريتشارد ما ، إن المطورين بحاجة إلى فهم الأسواق بأنفسهم ، ربما أكثر من الكود الذي ينشرونه في Ethereum blockchain. قام Quantstamp بالتدقيق أو التشاور بشأن العديد من مشاريع DeFi العليا مثل Curve Finance و MakerDAO و SushiSwap ، من بين أمور أخرى.
قال ما: “إن فهم المنتجات ومنطق العمل هو أكثر استهلاكا للوقت وأهمية من مراجعة التعليمات البرمجية المباشرة”.
في الواقع ، خضعت Akropolis للتدقيق مرتين من قبل شركتين منفصلتين ، لكنها ما زالت تعاني من هجوم إعادة الدخول.
يحدث هذا النوع من الهجوم عندما يُترك الباب الخلفي للعقد الذكي مفتوحًا. حالة العقد – التي تسجل عدد الرموز المميزة في العقد ، من بين أشياء أخرى – تفشل في التحديث بسرعة كافية عند إزالة الرموز ، مما يسمح للمهاجم بنقل المزيد من العملات بشكل غير مقبول. لا يختلف الأمر عن استمرار صراف البنك الكسول في صرف الأموال من حساب مكشوف.
اقرأ أكثر: تمويل الحصاد: هجوم 24 مليون دولار يؤدي إلى “تشغيل البنك” بقيمة 570 مليون دولار في أحدث استغلال لـ DeFi
يعد الجمع بين عمليات التدقيق الزائدة والتأمين خطوة تحثها الآن شركة استثمار رئيسية واحدة على الأقل في مجال العملة المشفرة.
قال بول فيراديتاكيت ، الشريك في شركة رأس المال الاستثماري Pantera ، في رسالة بالبريد الإلكتروني: “نوصي شركات محفظتنا الاستثمارية بالحصول على عمليات تدقيق متعددة من أكثر من مزود واحد”. “نعتقد أيضًا أن المشاريع والمستثمرين قد يرغبون في شراء التأمين لحماية أنفسهم”.
صرح أنطونيو جوليانو ، مؤسس DYdX ، لموقع CoinDesk في رسالة ، أنه من الملاحظ أيضًا أنه لم يتعرض أي من أفضل مشاريع DeFi لهجمات أوراكل مدفوعة بقروض سريعة. نشأت العديد من القروض السريعة المستخدمة في الهجمات على منصته ، والتي تقدم المنتج بدون رسوم.
قال إن “هناك فجوة كبيرة بين المشاريع المصممة بشكل جيد وغيرها.” تجسيد الفجوة في الوقت الحقيقي من خلال القروض السريعة.
جوليانو: “بالطريقة نفسها التي لا تلوم بها Ethereum على تفاصيل تنفيذ السلسلة المستخدمة للهجوم ، فإن الطريقة التي يتم بها استخدام القروض السريعة في عمليات الاستغلال هي خطأ المطورين الذين ينشئون تطبيقات غير آمنة ، وليس القروض السريعة بأنفسهم” قال.
