3月12日的市场崩盘对DeFi行业构成了真正的考验,并触及了其弱点。甚至是旗舰产品MakerDAO也无法抗拒-攻击者设法从系统中获得了800万美元,独立研究员Andrei Tokmunov特别告诉ForkLog他为DeFi“黑色星期四”教了什么课。
DAI如何稳定?
MakerDAO是一个由两个代币组成的生态系统:Maker的管理者和stablecoin DAI。后者以1:1的汇率与美元挂钩,并得到各种数字资产(主要是以太坊)的支持。
新的DAI:抵押优先权竞赛开始
要接收DAI,用户需要支付一份特殊的智能合约,然后系统会给他稳定币。此外,质押总会超过贷款额(在撰写本文时为150%)。如果抵押品中的代币价值低于贷款成本,则开始拍卖,网络参与者(即所谓的清算人)将抵押品赎回为DAI。之后,系统将燃烧收到的稳定币,从而减少排放。设计这种机制是为了与美元挂钩。
黑色星期四发生了什么事?
市场的恐慌激起了以太坊网络的沉重负担-交易费用大幅增加。
MakerDAO使用多个第三方资源(oracle)来跟踪资产价格。开始清算程序时,以平均价格为基础,每小时平均发布一次。由于以太坊拥塞,延迟时间为两个小时-在此期间,以太坊的成本从166美元降至136美元。
我们涵盖了黑色星期四市场崩溃事件的帖子现已上线,其中包括发生的详细信息以及计划中的自动化更新的简要介绍。
无论是在此处还是在我们的Discord中,我们都欢迎所有反馈和评论.https://t.co/X9FejPQSbg
-DeFi Saver(@DeFiSaver)2020年3月18日
更新平均价格后,许多抵押品有清算的危险,但是清算人没有足够的DAI来购买所有头寸。其中一些人故意没有购买迅速下降的ETH。
由MakerDAO开发人员编写的Auction Keeper并非为高汽油价格而设计。许多清盘人无法履行职责。
攻击者填补了真空,他们设法以约零的价格赢得了几次拍卖。其他用户遵循他的示例。他们合计以一分钱的价格回购了价值800万美元的抵押品,而DAI中的400万美元却被证明是无抵押的。
开发人员如何回应?
开发商增加了拍卖的时间,使诚实的竞标者有机会。但是,更新协议需要24小时。
MakerDAO的创建者添加了这样的延迟来解决安全问题。攻击者可以自己替换系统的智能合约,然后从MakerDAO中提取资金。这需要MKR投票令牌。潜在攻击的成本大大低于系统中冻结的资金成本。延迟允许其他参与者撤消决策并提取资金。
项目团队还宣布了大规模出售MKR代币的交易,其收益将使漏洞得以解决。拍卖发生了,买家是开发团队的匿名投资者。
一些人推测它们可能包括Coinbase和Circle,因为随后将稳定币USDC添加到了DAI抵押品中。也许是来自Paradigm和Dragonlfy的投资者,他们之前曾向MakerDAO投资2750万美元。
一些监管机构认为MKR是一种证券。此次销售可能会吸引他们的注意力,并且MakerDAO的问题肯定会影响整个DeFi领域。
彩排
2月14日,一笔交易立即影响了七个DeFi项目。攻击者的费用总计约为每个网络佣金8美元,估计利润为35万美元。
在攻击期间,与Uniswap交易所的通话时间相关的比特币价格上涨了两倍。转储发起人和主要受害者是bzx保证金交易协议。
Uniswap是一个自动流动资金池,其价格是根据一个简单的公式计算的,并且正在迅速增长。
Uniswap 3月总交易量,zumzoom数据
在进行杠杆交易时,交易者会借贷购买资产,并依靠其增长。如果价格上涨,资产被出售,并且在偿还债务和支付利息后剩下的差额,交易员就放进了口袋。如果价格下跌,他将蒙受损失。同时,资金由智能合约控制。
智能合约以超过150万美元的价格购买了BTC,同时以五倍的杠杆率建立了空头头寸。 bzx开发人员没有检查位置,请确保没有人在他们的脑海中冒着1300 ETH的风险。
但是攻击者的想法是在Uniswap上操纵比特币的价格。他以高于市场63%的价格卖出112 BTC,获得70万美元。
解析攻击
攻击者使用了新的快速借贷工具-这是一种即时借贷,在签发它的同一笔交易中被返还。如果未退还款项,合同将自动取消所有更改。
这样就可以安全地发行无抵押贷款。通常,快速贷款用于仲裁或清算:您买得便宜一些,但卖得更多。在黑色星期四,还动用了一笔小额贷款来节省抵押物。
储存资料
但是,饼干的行为有所不同。他在dydx平台上借了10,000 ETH(当时为280万美元)的贷款,并将其分为两部分。他将第一部分定向到bzx进行操作,第二部分进行仲裁。
快速借贷使攻击者可以大大降低攻击成本。黑客不需要大量寻找,他省去了洗钱的麻烦。此外,贷款本身几乎是免费的。
在“黑色星期四”事件之后,接下来将如何构建#DeFi? ????
在我们的博客上阅读@lemiscate的热门照片:https://t.co/XJFdKjtsML
-Aave(@AaveAave)2020年3月14日
恢复后的2月17日,bzx协议再次受到攻击。这次,在一笔小额贷款的帮助下,攻击者操纵了稳定币sUSD的价格。该协议最终发行了无抵押贷款。损失估计为65万美元。
甲骨文是如何工作的?
为了计算DeFi中的抵押品,经常使用加密货币课程,这些课程通常会从分散交易中收紧。由于此类网站的流动性低,报价易于操作。
bzx开发人员使用了来自Kyber流动性聚合器的信息,但是在攻击后决定连接到Chainlink oracle网络。在其中,参与者从各种交流中收集课程并记录在以太坊网络中。对价格进行平均以保护系统免受错误信息的侵害。
在市场恐慌的背景下,Chainlink占用了以太坊带宽的22%,并且必须将达成共识所需的票数从21减至7。
有一次,请求者(Chainlink团队)提交了如此多的请求交易,以至于实际上消耗了以太坊总带宽的22%,这使问题更加复杂了https://://t.co/sSuwgJyrW6
-ChainLinkGod.eth(@ChainLinkGod)2020年3月14日
在黑色星期四的以太坊网络拥塞问题之后,看起来某些https://t.co/hO9I0FPjb2价格供稿的参数已更改
ETH / USD&BTC / USD
偏差更新:
0.5%-> 1%
开始聚合的最低阈值:
14-> 7个节点$ ETH $ LINK
以下更多内容。pic.twitter.com/2OiiaRFq0Q-ChainLinkGod.eth(@ChainLinkGod)2020年3月14日
MakerDAO使用其自己的Oracle网络,该网络从各个交易所收集数据并在智能合约中进行平均。该系统非常昂贵,开发人员希望对其进行更新。这将影响整个行业,因为许多DeFi协议都使用MakerDAO oracle。
对DeFi部门做什么?
所描述的攻击表明,在增加波动性的情况下,DeFi协议不稳定。在这样的时期,基于其算法的复杂公式不再起作用。
此类协议的安全审核的重要部分应该是负载测试,这将显示智能合约在极端情况下的行为。
猴子测试-检查系统的行为,使它们做出看似毫无意义的动作。此类检查有助于发现可能与新方案(例如快速借贷)的出现相关的新攻击媒介。
DeFi意味着集体管理。权力下放的程度越高,决策所需的时间就越多。
某些系统可以暂停以获取资金。但是,当市场不稳定时,任何止损都将遭受损失。许多团队已经更改了限制,使操作变得困难。
攻击后,MakerDAO花了24小时更改设置。 bzx协议中的漏洞导致16个小时的风险超过200万美元。 Compound更新了系统,在发生事故时赋予开发团队很大的权利。 Compound准备了用于处理MakerDAO紧急停止的算法-该协议将停止使用Maker的课程。 在dydx中提高了竞标的门槛。您应该始终有一个备份计划,以防造成损失。
暂停三周后,bzx开发人员发布了一篇文章,描述了攻击和缓解措施。该文件提前265年提供了相当大胆的预测。该文本是在市场下跌前三天发布的,估计可能需要调整。
交易者现在可以平仓。已进行了审核的更改。
Mea Culpa:攻击后报告,新的开始已经发布。您可以将其与审核报告????https一起阅读://t.co/vMG6d1eTsI#defi #ethereum
-bZx(@bzxHQ)2020年3月10日
总结
攻击MakerDAO的清盘人没有应付他们的责任。通用代码中的错误不允许用户参加拍卖。负面的经验可能会刺激替代客户端的出现,因为对于大多数DeFi协议而言,现在仅编写官方库。
可以假定,对负责系统性能的参与者的惩罚也将成为一种额外的安全措施。
诸如快速贷款之类的工具的出现很可能导致限额的引入,并因此导致对KYC的需求。但是,在DeFi中,智能合约也是参与者,因此您可以更多地谈论信任和声誉市场的出现。
主要协议的开发者将尝试填补资金上的损失,以防将来遭受攻击。许可成员可以是一种获利的方法。
做出决策将需要更多数据,预言将变得更加复杂并承担风险控制职能。
所有这些将在性能方面带来新的挑战,DeFi可以迁移到第二层解决方案。
—-
原文链接:https://forklog.com/chernyj-chetverg-v-defi-kak-umelye-hakery-vyveli-8-mln-iz-makerdao-na-fone-obvala-rynka/
原文作者:Nick
编译者/作者:wanbizu AI
玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。
