Finanza ridefinita: un trucco per far crollare un intero mercato, 10-17 febbraio

Finance Redefined è la newsletter incentrata su DeFi di Cointelegraph, consegnata agli abbonati ogni mercoledì.

L’hacking di Alpha Homora e Cream Finance ha lasciato un segno gigantesco nello spazio DeFi questa settimana.

È il più grande singolo hack nella storia della DeFi con $ 37 milioni di fondi rubati. È anche uno dei più complessi, apparentemente sfruttando diverse vulnerabilità oneste verso Dio in Alpha Homora. Alcuni controlli di input mancanti in condizioni molto specializzate hanno permesso all’hacker di abusare del privilegio di Alpha Homora di prendere in prestito una quantità illimitata di fondi dalla Iron Bank di Cream Finance. I prestiti flash erano ovviamente coinvolti, ma a differenza di alcuni hack precedenti come Harvest Finance, questo non sembra essere stato un exploit puramente economico.

La notizia dell’hacking ha avuto un impatto molto negativo sui prezzi per tutti i protocolli coinvolti nell’hacking, incluso Aave per qualche motivo. Guardando più in generale al DeFi Perp su FTX, c’è un netto picco proprio il 13 febbraio quando è avvenuto l’hack.

Indice DeFi di FTX, per gentile concessione di TradingView.

Forse alcune di queste sono solo normali azioni di mercato, ma nel complesso sembra che l’hacking abbia messo fine da solo alla stagione DeFi, per ora.

Gli auditor sentono il calore

Come qualsiasi protocollo che raggiunga qualsiasi tipo di adozione di massa oggi, Alpha Homora è stato verificato da Quantstamp e PeckShield, entrambe aziende competenti e rispettabili.

Tuttavia, i dettagli dell’hacking hanno portato alcuni a sospettare che si trattasse di un lavoro interno, potenzialmente di qualcuno in queste società di revisione. Yearn.finance sviluppatore principale Banteg menzionato come i dettagli dell’hacking fossero così oscuri che era estremamente improbabile che qualcuno lo capisse solo guardando i contratti. In particolare, il pool attaccato dall’hacker è stato non annunciato e inutilizzato, che è ciò che ha permesso che si verificasse l’hack.

Sebbene non vi siano state accuse pubbliche, l’incidente ha innescato un’altra discussione sul motivo per cui i revisori non sono riusciti a individuare il bug, se sono adeguatamente incentivati ​​e come questa situazione può essere mitigata.

L’anatomia di un hack complesso

In qualità di ex cacciatore di taglie di insetti, credo davvero che l’ecosistema dell’auditing sia il più “allineato agli incentivi” possibile. Le società di revisione rischiano la loro reputazione ogni volta che un bug importante come questo sfugge alle loro reti. Ne ho abbastanza in rapida successione e nessuno si fiderà più di quella faccenda. Gli auditor hanno tutte le motivazioni per trovare tutto ciò che possono, è solo che a volte realisticamente non possono farlo.

Un audit è un contratto a tempo limitato durante il quale un team di esperti ingegneri della sicurezza esamina il codice alla ricerca di tutto ciò che sembra sospetto. Le parole chiave qui sono “tempo limitato” e “in cerca di qualsiasi cosa”.

Posso dire per esperienza personale che un bug come quello che avevamo in questo momento non è qualcosa che puoi trovare casualmente guardando il codice. Trovare un bug complesso in più passaggi come questo è un processo iterativo. Inizia con te che inciampi su quella cosa strana che non si comporta come dovrebbe. Ad esempio un sito web che si dimentica di controllare se sei effettivamente connesso durante l’esecuzione di una determinata attività. Prendi quella pepita e ti chiedi: “come posso sfruttare questo?” Ti vengono in mente idee, setaccia la piattaforma per altri punti deboli e vedi se puoi combinarli in qualche modo. Il più delle volte non trovi effettivamente nulla e quel punto debole rimane inutilizzabile.

Ma con giorni di lavoro concentrato, molteplici prove ed errori, a volte riesci a capire come sfruttare il problema iniziale. Quando accade, è sempre una combinazione di fattori che da soli sembrano irrilevanti, ma presi insieme si inseriscono in un brutto puzzle.

L’attenzione e la dedizione necessarie per trovare la maggior parte dei bug che hanno portato a importanti hack sono qualcosa che va oltre lo scopo di un audit. Se dovessero inseguire ogni singolo vantaggio con il tempo a disposizione, ne sprecherebbero letteralmente così tanto da non riuscire a trovare le cose facilmente sfruttabili e ovvie. Per non dire che gli auditor non trovano mai bug complessi, ma è irragionevole aspettarsi che trovino tutto. E se un auditor ha davvero trovato il bug di Alpha Homora e lo ha negato, ci sono questioni più profonde in gioco degli incentivi economici.

Come proteggere la DeFi

I problemi con gli audit significano che i progetti dovrebbero lanciare bug bounty per trovare bug davvero complessi. Non hanno limiti di tempo, molti più occhi scrutano la piattaforma e la paga è basata sui risultati – molto più efficiente che pagare più ore di lavoro ai revisori nella speranza che trovino qualcosa.

Ormai la maggior parte comprende il potere delle taglie di bug, anche se ovviamente Alpha Homora non ne aveva uno. Ma progetti come Yearn.finance lo fanno e sono stati violati lo stesso.

A volte queste cose accadono e basta. Crypto porta la problematica combinazione che in realtà sfruttare un bug per soldi e farla franca è davvero facile, mentre l’infrastruttura è diversa da qualsiasi altra cosa gli hacker abbiano visto prima. Per iniziare a cercare taglie in DeFi, devi essere un serio esperto di crittografia e un programmatore esperto di Solidity / Vyper, entrambe cose che non vengono immediatamente. Per un hacker dal cappello bianco, ci sono molte piattaforme Web2 standard che offrono premi molto competitivi, perché dovrebbero preoccuparsi di fare ricerche sulla DeFi?

Le persone fraintendono la sfida di garantire i protocolli. Alpha Homora disse che qualsiasi ricompensa avrebbero potuto pagare sarebbe impallidita rispetto al bottino in gioco. Ma l’obiettivo non dovrebbe essere quello di pagare agli hacker ciò che potrebbero rubare. Questa è una proposta perdente. L’obiettivo è attirare hacker dal cappello bianco di buon cuore per analizzare il progetto e ricevere una ricompensa legale. Una taglia inferiore ai milioni che potrebbero ottenere sfruttando il bug, ma che può comunque essere una vincita che cambia la vita. Forse qualcosa come $ 50.000, $ 200.000, a seconda della situazione? Probabilmente è inferiore al costo di un audit da parte di un’impresa molto apprezzata.

In altre notizie

  • 1inch lancia un altro “attacco di vampiri” su Uniswap trasmettendo token gratuiti ad (alcuni) suoi utenti.
  • Una startup lancia un’app di rendimento abilitata per DeFi.
  • La scala di grigi potrebbe cercare di stabilire un trust YFI. Per essere onesti, anche molti altri come SushiSwap o Chainlink sono candidati.
  • Progetti importanti sostengono GoodFi, un’alleanza educativa DeFi.
  • HiFi lancia un protocollo di prestito di interessi a tasso fisso.