Frecuentes ataques DeFi: ¿ERC-777 tiene la culpa?

Prefacio del traductor: los protocolos DeFi Uniswap y dForce se vieron afectados por ataques de reingreso el 18 y 19 de abril, lo que provocó pérdidas de decenas de millones de dólares. Sorprendentemente, dForce recuperó los activos robados y los devolvió a los usuarios. Durante un tiempo, la punta de lanza se dirigió al estándar de token ERC-777. Sin embargo, ERC777 es esencialmente una extensión de ERC-20 para agregar nuevas funciones para mejorar la experiencia del usuario. ¿De verdad vamos a dejar de comer por atragantarnos? ¿Cómo debería DeFi romper el cuello de botella de seguridad?

En solo un fin de semana, se robaron decenas de millones de dólares de cuentas de contratos inteligentes.

El grupo de fondos imBTC de Uniswap fue pirateado, lo que resultó en la pérdida de tokens por valor de 300,000. No mucho después, dForce fue golpeado por un ataque similar, aunque la mayor parte de la criptomoneda robada ahora ha sido devuelta. Ambos incidentes aprovechan las vulnerabilidades del vector de ataque de reentrada.

Se ha afirmado que una vulnerabilidad en ciertas funciones del estándar de token ERC-777 es la causa de ambos ataques. Sin embargo, las vulnerabilidades de reingreso son comunes, especialmente durante el ataque DAO en 2016. Entonces, en realidad, el ataque no tiene nada que ver con el token estándar ERC-777 en sí.

El primer lote del mercado de rendimiento DeFi Pendle ha integrado soporte para los protocolos ecológicos Avalanche Trader Joe y BENQI: el 9 de noviembre, el mercado de rendimiento DeFi Pendle anunció que ha integrado soporte para el protocolo ecológico DeFi Avalanche Trader Joe y el mercado de liquidez ecológico Avalanche protocolo BENQI. Entre ellos, la integración con Trader Joe admite los dos activos de xJOE y PENDLE/AVAX LP, y la integración con BENQI admite los dos tokens de QiAVAX y QiUSDC. Los usuarios podrán bloquear ingresos, establecer una exposición de ingresos apalancados y comprar activos correspondientes a un precio descontado activos subyacentes.

Como se informó anteriormente, el 5 de noviembre, Pendle anunció que lanzará Avalanche, y el primer lote de protocolos nativos ecológicos compatibles de Avalanche también se anunciará en los próximos días. [2021/11/10 6:42:30]

Es importante que, a medida que se desarrolla esta industria naciente, reconozcamos las fortalezas y debilidades de varios protocolos, fomentemos la colaboración y el debate abiertos, y trabajemos juntos para mejorar los estándares de la industria.

Culpar a los estándares de los tokens es poco constructivo y engañoso. Los nuevos estándares de tokens diseñados para resolver viejos problemas son inherentemente más seguros, pero por lo tanto pueden correr el riesgo de ser cuestionados. En cambio, necesitamos analizar y actuar sobre esta realidad en evolución.

La Fundación Avalanche lanzará un plan de incentivos de minería de liquidez de USD 20 millones con el protocolo DeFi ecológico Trader Joe: El 1 de octubre, el protocolo DeFi ecológico de Avalanche Trader Joe anunció que cooperará con la Fundación Avalanche para lanzar una liquidez de USD 20 millones a mediados -Programa de incentivos de minería de octubre, las recompensas incluirán $ 10 millones en tokens JOE y $ 10 millones en AVAX. El programa de incentivos es parte de Avalanche Rush, el programa de recompensas de minería de liquidez de $ 180 millones de Avalanche lanzado en agosto. [2021/10/1 17:19:44]

¿Qué es ERC-777?

Los tokens de Ethereum son monedas digitales que se ejecutan en Ethereum y desempeñan un papel único e importante en el ecosistema. Los tokens individuales están representados por sus contratos inteligentes, con los que interactúan otras DApps y usuarios.

Por lo tanto, Ethereum introdujo estándares de token para simplificar la interacción entre muchas DApps y tokens en el ecosistema, mejorando así la componibilidad. El estándar de token ERC-20 se desarrolló inicialmente en 2015 con el objetivo de ser una "interfaz de token estándar". Aquí hay una guía sobre cómo funciona el estándar de token ERC20.

David: YouSwap captará la tendencia de integración mutua y conexión entre diferentes pistas de DeFi: el 23 de marzo, David, el fundador de la comunidad china de YouSwap, realizó un salón en línea "DEX monta el viento y las olas, ¿cómo compite YouSwap para debutar? " "Es una tendencia muy importante integrar y conectar diferentes pistas DeFi. YouSwap espera ser un 'agregador' de toda la pista DeFi. Módulos, de modo que cada módulo se mezcle entre sí para beneficio mutuo. Permite a los usuarios usar fácilmente las funciones de la mayoría de los protocolos DeFi convencionales en un solo intercambio, lo que evita que los usuarios cambien entre diferentes protocolos DeFi y mejora la eficiencia. [2021/3/23 19:10:46]

Con el tiempo, los tokens de Ethereum se han conectado cada vez más al ecosistema y sus aplicaciones se han vuelto más y más amplias. A medida que crece la cantidad de casos de uso y aplicaciones para tokens, y los contratos inteligentes más complejos imponen mayores exigencias al estándar básico de tokens ERC-20, comienzan a surgir algunas de sus limitaciones.

De hecho, originalmente el estándar se diseñó para tratar con la funcionalidad básica, por lo que no es adecuado para todos los casos de uso.

Live｜Mike 모종우: ¿Cuánto ha contribuido la comunidad coreana al ecosistema DeFi? : Golden Finance & Economics · Golden Point Trend "DeFi fuera de Ethereum, ¿es delicioso?" presentado por la transmisión en vivo "¡15:00 comienza a tiempo! En esta sesión, el director de operaciones de GrowFi, Mike 모종우, compartió "¿Cuánto ha contribuido la comunidad coreana al ecosistema DeFi?". ¡Escanee el código QR y escuche! [2020/8/31]

Aunque la mayoría de los tokens de hoy siguen el estándar ERC-20, todavía hay algunos tokens que agregan funciones personalizadas según sus propias necesidades. Como resultado, se agregaron algunas características no estándar (llamadas "extensiones") a tokens individuales.

Por ejemplo, el estándar ERC-20 no admite funciones de conversión y grabación, pero de hecho estas funciones son necesarias, por lo que se agregan como funciones de extensión. En algunos casos, los requisitos funcionales se superponen parcialmente, por lo que varios tokens agregan diferentes extensiones.

Esta naturaleza descentralizada del estándar ERC-20 complica innecesariamente el proceso de integración de DApp e incluso la compatibilidad general. Para resolver este problema de fragmentación, la comunidad intenta llegar a un consenso sobre un nuevo estándar.

El nuevo estándar de token ERC-777 se lanzó el año pasado después de dos años de discusiones abiertas. El estándar de token ERC-777 más poderoso "intenta mejorar el estándar de token ERC20 ampliamente utilizado" y se convierte en una versión completamente extendida de su formalización.

Tim Draper invierte en el token de gobernanza DMG del mercado de divisas DeFi: Jinse Finance informó que, según el blog oficial, el capitalista de riesgo multimillonario Tim Draper y su fondo de capital de riesgo de tecnología financiera Draper Goren Holm Ventures compraron la gobernanza del mercado de divisas DeFi (DMM ) El token DMG se une a DMM DAO, la organización autónoma descentralizada detrás del protocolo. Los tokens DMG proporcionarán a los titulares derechos de voto y derechos de dirección. [2020/3/17]

Introduce y "aclara la funcionalidad avanzada requerida" para interactuar con tokens, brindando a los titulares de tokens un mayor control sobre sus activos. Todos los tokens ERC-777 son compatibles con versiones anteriores del estándar ERC-20, lo que significa que si una DApp o billetera es compatible con el estándar ERC-777, también es compatible con el estándar ERC-20.

ERC-20 es un formato de token simple. Gracias a su simplicidad, muchos proyectos y equipos han utilizado este estándar para construir nuevas DApps con relativa facilidad, lo que no solo promueve el desarrollo del ecosistema, sino que también estimula la vitalidad de la innovación y la creatividad. Sin embargo, sus limitaciones también lo convierten en un desafío constante en términos de experiencia de usuario.

El estándar ERC-777 tiene como objetivo resolver dos problemas principales inherentes al estándar ERC-20

1. ERC-20 solo responde a transacciones de Ethereum (ETH). Aprobar y transferir dinero requiere dos pasos, y esta deficiencia genera muchos problemas en la experiencia del usuario. El problema más obvio es que procesar una sola solicitud requiere iniciar dos transacciones separadas. ERC-777 puede realizar la transferencia de tokens a través de la función de ejecución sin utilizar ETH como medio, lo que simplifica el proceso de transferencia.

2.  "Error de usuario" resultó en la pérdida de tokens por valor de millones de dólares. Los usuarios suelen enviar sus tokens a un contrato inteligente, no a una dirección de destino de blockchain. Dado que no se ha definido el comportamiento estándar de la función de "transferencia" en el manejo de tales errores, los contratos ERC-20 no pueden detectar tales errores.

Esta característica del estándar de token ERC20 "es un error de software y puede clasificarse como una vulnerabilidad de software". Por el contrario, los contratos inteligentes ERC-777 pueden detectar dichos errores y rechazar transferencias de tokens erróneas.

El estándar ERC-777 no es compatible con algunos protocolos

Las funciones específicas del estándar ERC-777 son sus características únicas. Estas funciones permiten la interoperabilidad entre protocolos, lo cual es fundamental para escalar el ecosistema Ethereum.

Sin embargo, dado que el estándar de token ERC-777 se introdujo el año pasado, es posible que estas características no sean compatibles con algunos protocolos, especialmente con algunos contratos inteligentes implementados anteriormente.

Dado el rápido desarrollo de Ethereum y la creciente complejidad de los contratos inteligentes financieros descentralizados emergentes, no sorprende que existan incompatibilidades. Pero también es importante abordar estos problemas en el protocolo lo antes posible, porque están expuestos a la intrusión de vectores de ataque. Lo mismo ocurre con otras incompatibilidades, no solo con el estándar ERC-777.

A medida que aumente la adopción de este nuevo estándar, otros proyectos deberán admitir tokens ERC-777 o implementar las medidas de seguridad necesarias para proteger sus propios proyectos de tales ataques. Desafortunadamente, muchos proyectos no hacen las dos cosas anteriores.

En algunos casos, por ejemplo, a pesar de que el equipo de Uniswap anunció el problema con V.1, simplemente se desaconseja a los usuarios bloquear sus tokens ERC-777 en fondos de liquidez.

El equipo de Uniswap también parece haber asumido erróneamente que el contrato aún estaba seguro debido a un ataque de reingreso al transferir tokens. Tenga en cuenta que esta suposición no es cierta para ningún tipo de contrato inteligente, pero algunos protocolos aún asumen falsamente que las transferencias de tokens (no solo las transferencias ETH) son más seguras de lo normal. Desafortunadamente, esta vulnerabilidad fue aprovechada en un ataque de reingreso el pasado fin de semana.

Iniciar un ataque de reingreso es manipular las funciones que interactúan ("comunicarse" e interoperar) en el contrato inteligente para atacar el contrato. Por ejemplo, tres contratos inteligentes pueden estar involucrados cuando un usuario intercambia sus tokens; el contrato inteligente A (una dApp o protocolo como Uniswap) interactúa con el contrato inteligente B (un contrato inteligente de token como imBTC u otra dApp o protocolo), luego el contrato inteligente B interactúa con el contrato inteligente C (cualquier contrato inteligente que puede crear un pirata informático solo para robar fondos).

Si un atacante secuestra el contrato inteligente C, puede enviar solicitudes de tokens, pero falsificará la confirmación de la recepción de los fondos. La solicitud para enviar tokens al contrato inteligente C aún se ejecuta, pero el atacante puede continuar fingiendo que los tokens nunca se recibieron. Dado que se trata de un proceso automatizado, no hay forma de intervenir a menos que el usuario se dé cuenta de que está siendo atacado y rescinda el contrato.

Lecciones del pasado

Este vector de ataque lo expone al riesgo de ser atacado. Como característica clave de la interoperabilidad de Ethereum, se puede manipular de varias maneras. Los contratos inteligentes de token también son una de las herramientas para lanzar ataques de reingreso. Este es el caso de los recientes ataques imToken/Uniswap y dForce.

No podemos dejar de comer por atragantarnos. El ataque no es suficiente para poner fin a la era DeFi, y ni siquiera es suficiente para hacernos cuestionar la seguridad del token estándar ERC-777.

El número de tokens ERC-777 está creciendo constantemente. Equipos como Augur están decidiendo actualizar su formato de token de ERC-20 a ERC-777. A medida que crece la industria DeFi, es fundamental que comprendamos los riesgos de usar tecnologías tan innovadoras y cómo minimizarlos.

La belleza de esta vulnerabilidad es que es un error en el código en lugar de las fallas sistémicas inherentes (corrupción, exceso de regulación y exclusión) que prevalecen en la industria financiera tradicional. Con DeFi, hemos cambiado la confianza de los humanos al código. Por lo tanto, aunque siempre habrá personas que exploten deliberadamente el código, al menos el código en sí no intenta sacar provecho de los humanos. Ese no es el caso en el sistema económico actual.

Como parte de la industria DeFi, debemos mejorar continuamente los estándares, haciendo que cada iteración sea más sólida y segura. Actualmente, ERC-777 tiene una serie de ventajas que pueden aportar valor a los titulares de tokens y DApps. Siempre deberíamos estar trabajando para mejorar el estándar ERC-777 y todos los estándares futuros. Para que DeFi se destaque, el avance radica aquí.

Fuente | Medio

Autor | Cosas demostrables

Tags：

FTX