​Observación de la industria de OKLink: La ecología DeFi está sonando la sentencia de muerte después de haber sido atacada dos veces por piratas informáticos, o se va a descansar

Para los inversores de DeFi (Finanzas Descentralizadas), esta semana no será demasiado tranquila. A las 8:45 a. m., hora de Beijing, del 19 de abril, el protocolo nacional de préstamos DeFi, Lendf.Me, quedó expuesto a los piratas informáticos. Este es otro incidente de seguridad importante en el ecosistema DeFi después de que Uniswap fuera pirateado el 18 de abril y perdiera 1278 ETH (por un valor aproximado de $220 000).

Novedades

Después de que estallaron dos incidentes de seguridad uno tras otro, las partes del proyecto y las compañías de seguridad de blockchain siguieron uno tras otro. El 18 de abril, es decir, el sábado, se robó el imBTC de Uniswap; el domingo, los activos por valor de 25 millones de dólares estadounidenses en Lendf.Me fueron saqueados por piratas informáticos; el progreso del incidente "pirateado", dijo "en las últimas 24 horas, han estado trabajando sin parar, y detallaré todas las acciones tomadas por Lendf.Me en artículos futuros". El martes, el pirata informático devolvió todos los activos, el fundador de dForce, Yang Mindao, anunció el plan de acción de seguimiento.

El comisionado de CTFC propone una "Oficina de defensa minorista" para proteger a los criptoinversionistas minoristas: el 29 de septiembre, la comisionada de comercio de futuros de productos básicos (CFTC), Caroline Pham, propuso una "Oficina de defensa minorista" destinada a expandir el deber de protección de los inversores de CFTC para proteger a los criptoinversionistas minoristas. Siguiendo el modelo de la Oficina de Protección al Inversor de la Comisión de Bolsa y Valores de EE. UU. (SEC), Pham dijo que era una "manera comprobada" de promover la protección del cliente.

Se informa que la CFTC ha sido criticada recientemente por su "supervisión de la aplicación" del caso Ooki DAO, y la comunidad la comparó con la estrategia de aplicación de la SEC en el caso Ripple en curso. [2022/9/29 22:39:20]

Lendf.Me sufrió una pérdida acumulada de alrededor de $24,696,616 por los ataques, y las monedas robadas específicas incluyeron USDT, WETH, WBTC y otras 12 monedas. Según el navegador de cadena de bloques OKLink, a partir del 21 de abril, hora de Beijing, los activos bajo la dirección del atacante Lendf.Me 0xa9bf70a420d364e923c74448d9d817d3f2a77822 se han transferido continuamente. A las 14 en punto del mismo día, el saldo de ETH bajo la dirección del atacante de Lendf.Me se redujo a $279,27. Una hora después, el saldo de ETH en esta dirección ya es 0. Con la participación de todas las partes, las últimas noticias muestran que los piratas informáticos han devuelto todos los activos robados.

La emisión de USDC en la cadena Avalanche ha caído por debajo de $1 mil millones, más del 30 % por debajo de ATH: según las noticias del 20 de septiembre, los últimos datos de usdccool muestran que la emisión de USDC en la cadena Avalanche ha caído por debajo de $1 mil millones, que actualmente es $952.689.909,94. Según datos históricos, la circulación de USDC en la cadena Avalanche superó una vez los 1500 millones de dólares a principios de junio de este año y alcanzó un máximo histórico, lo que significa que la circulación actual se ha reducido en más del 30 %. [2022/9/20 7:08:22]

 Fuente de la imagen: oklink.com, 21 de abril a las 13:30 

La versión beta pública de Shibarium se lanzará en el tercer trimestre de 2022: el 24 de junio, se espera que la solución de escalado de segunda capa Shibarium testnet de Shiba Inu (SHIB) se lance en el tercer trimestre de 2022. Según el autor, Shibarium Public Beta TestNet permitirá a los usuarios y desarrolladores finalmente probar y evaluar el proyecto, incluido el proceso de validación. (U.hoy)[2022/6/24 1:29:57]

Fuente de la imagen: oklink.com, 21 de abril a las 14:00

Ataque de reentrada

La situación conocida actual es que el atacante aprovechó una vulnerabilidad en el estándar ERC-777 adoptado por imBTC para realizar un ataque de reentrada (Reentrancy attack), lo que resultó en la retirada de activos con un valor de mercado de alrededor de 25 millones de dólares estadounidenses del Lendf. .Me contrato.

El equipo de la Escuela de Arquitectura de la Universidad de Hong Kong utiliza tecnología blockchain para desarrollar: Jinse Financial News, el equipo de la Escuela de Arquitectura de la Universidad de Hong Kong (Universidad de Hong Kong) desarrolló el e-inspection 2.0 (calidad electrónica inspección 2.0) y la plataforma de aplicación móvil e-inStar. Durante la epidemia de COVID-19, se utiliza para monitorear el proceso de fabricación y transporte de los componentes del módulo de dormitorio de estudiantes producidos en el continente, reduciendo la mano de obra de las inspecciones transfronterizas y asegurando efectivamente la calidad de las unidades.

El sistema de inspección electrónica de calidad 2.0 utiliza tecnologías digitales de vanguardia como Blockchain, Building Information Modeling (BIM), Internet de las cosas (IoTs) y Geographic Information System (GIS) para detectar y monitorear cada proceso de construcción en tiempo real. proceso de transporte hasta que el módulo llegue al sitio de Hong Kong para su instalación. La aplicación de inspección es la primera en el mundo y se espera que la industria se utilice más ampliamente en el seguimiento y monitoreo de operaciones remotas, convirtiéndose en un nuevo estándar para la inspección de calidad electrónica. [2022/6/7 4:07:57]

En la tarde del 18, el método utilizado para atacar a Uniswap fue similar al de Lendf.Me esta vez, y es muy probable que los atacantes en los dos incidentes sean el mismo grupo. Los piratas informáticos aprovecharon los problemas de compatibilidad entre Uniswap y ERC777 y utilizaron varias iteraciones en ERC777 para llamar a tokensToSend para lograr ataques de reingreso al intercambiar ETH e imBTC.

La primera página de inicio de OpenSea recomendaba enlaces de disco de imitación NFT de la serie PXN, y el volumen de transacciones superó los 3600 ETH: según las noticias del 5 de mayo, según una publicación de varios KOL en el campo de NFT, incluido dingaling, OpenSea había publicado Tendencias en su página de inicio anteriormente hoy La sección de todas las categorías recomienda el proyecto NFT PXN Ghost Division para los usuarios, pero el hipervínculo de este proyecto está vinculado al disco de imitación PXN:Ghost Division, lo que hace que algunos usuarios pierdan fondos. En la actualidad, OpenSea eliminó el enlace de la página de inicio y cerró la página de inicio de NFT de imitación. Antes de la exclusión de la lista, el volumen de negociación del NFT de imitación superó los 3600 ETH. [2022/5/5 2:51:20]

Antes de explicar el ataque de reentrada, repasemos un punto de conocimiento sobre Ethereum. Cada token en Ethereum es un contrato, y estos contratos están escritos de acuerdo con un cierto estándar. La mayoría de los usuarios están más familiarizados con el estándar ERC 20. El navegador de cadena de bloques OKLink muestra que, a partir del 21 de abril, la cantidad de tokens ERC20 en Ethereum llega a 214 075, y el número muestra una tendencia al alza.  

  Fuente de la imagen: oklink.com

Sin embargo, incluso bajo el mismo estándar de ERC20, la transferencia de tokens entre contratos aún no es muy conveniente. ERC777 nació y agregó nuevo contenido sobre la base de ser compatible con ERC20.

Uniswap en este incidente está diseñado de acuerdo con el estándar ERC20. Uniswap v1 tiene un contrato de fábrica y un contrato de transacción, a través del contrato de fábrica, cada token puede generar un contrato de transacción con Ethereum. En otras palabras, cualquier contrato que cumpla con el estándar ERC20 puede registrarse directamente en Uniswap a través del contrato de fábrica sin permiso. ERC777 es compatible con ERC20, y los contratos bajo el estándar ERC777 también se pueden registrar en Uniswap.

En términos generales, los contratos inteligentes pueden realizar llamadas a otros contratos inteligentes durante la ejecución normal ejecutando llamadas de función o simplemente transfiriendo Ethereum. Estos contratos inteligentes pueden denominarse otros contratos inteligentes y pueden volver a llamar al contrato inteligente que los llamó o a cualquier otro contrato inteligente en la pila de devolución de llamada. En este caso, decimos que se reingresa al contrato inteligente, y esta situación se denomina reingreso.

El reingreso en sí mismo no es un problema, pero cuando se reingresa un contrato inteligente en un estado "inconsistente", sí lo es. El problema de seguridad de usar ERC777 en Uniswap se descubrió y se hizo público en junio de 2019. El par comercial Uniswap de ERC777 será atacado porque existe en el estándar ERC777 pero no en ERC20.En este momento, el reingreso se convierte en un ataque de reingreso.

Contramedidas defensivas

Esta no es la primera vez que los piratas informáticos explotan las lagunas de control de riesgos sistémicos de DeFi. Desde el incidente de vulnerabilidad lightning bZx que se despertó antes hasta este segundo incidente combinado, DeFi ha experimentado tres incidentes de riesgo de activos a gran escala antes de mediados de 2020.

En febrero, bZx fue atacado, se explotaron las lagunas de su protocolo y el atacante arbitró $990 000; bajo las condiciones extremas del mercado el 12 de marzo, MakerDao y otros protocolos se vieron obligados a liquidar repentinamente, y el programa del robot no aumentó la tarifa del gas a tiempo. .0 ofertas para obtener los activos hipotecarios subastados por el sistema, causando una pérdida de US$ 5,67 millones a MakerDao, en este segundo incidente del combo hacker, los activos robados ascendieron a US$ 25 millones. Sin duda, la vulnerabilidad de la infraestructura DeFi está expuesta.

Los creadores de DeFi originalmente tenían la intención de usar código y contratos inteligentes para crear un ecosistema financiero abierto que no requiera censura y todos puedan participar. La infraestructura para su desarrollo masivo es una variedad de protocolos descentralizados. Aunque hay mejores visiones, DeFi ni siquiera es tan resistente al riesgo como los sistemas centralizados.

Los sucesivos incidentes de seguridad han hecho que las personas se den cuenta de que no existe un protocolo con cero vulnerabilidades y que la seguridad es la máxima prioridad. Para la parte del proyecto, los problemas de seguridad del contrato deben priorizarse al desarrollar contratos. El código del contrato puede ser de código abierto, lo que permite que más profesionales y equipos técnicos participen, analicen y resuelvan los accidentes que pueden ocurrir, mejoren la seguridad y la precisión funcional de la redacción del contrato y prevengan problemas antes de que sucedan. En segundo lugar, las partes del proyecto pueden fortalecer la cooperación con las agencias de seguridad para revisar el código. Los usuarios individuales también deben ser extremadamente cautelosos al tomar decisiones.Antes de elegir un proyecto de inversión, la clave es utilizar herramientas como los navegadores de cadena de bloques para comprender mejor la información en la cadena del proyecto.

Este es un campo iterativo rápido. Después de varias calamidades, ya sea que la ecología de DeFi esté cayendo o entrando en un período de descanso, creo que los resultados se verán pronto. Esta es también una industria de desarrollo a largo plazo. La visión del código como ley aún no se ha realizado. Solo más regulaciones e intervención regulatoria pueden ayudar al desarrollo saludable del ecosistema DeFi. DeFi puede explotar en el futuro, pero puede llevar décadas de silencio allanar el camino.

Tags：

LTC