Inverse Finance es la última víctima de un exploit de DeFi un movimiento que defiende los servicios financieros descentralizados creados en blockchain. Una alternativa a los bancos tradicionales, las bolsas, etc. que ha provocado la pérdida de más de 15 millones de dólares, Peckshield reveló este fin de semana. La firma de seguridad el término valores se refiere a un instrumento financiero fungible y negociable que conlleva un tipo de valor monetario. blockchain un sistema de libro mayor distribuido. Una secuencia de bloques, o unidades de información digital, almacenados consecutivamente en una base de datos pública. La base de las criptomonedas. publicó un tuit que simplemente decía: «Hola, @InverseFinance, tal vez quieras echar un vistazo», vinculado a una transacción en Etherscan .
Lavado de criptomonedas a través de Tornado Cash
En las últimas horas, el explotador envió cientos de transacciones de Ethereum una blockchain descentralizada de código abierto con funcionalidad de contratos inteligentes. a Tornado Cash. Tornado Cash es una herramienta habitual entre hackers y explotadores para intentar ofuscar su historial de transacciones. Ellos describir su servicio como una herramienta que «mejora la privacidad de las transacciones al romper el vínculo en la cadena entre las direcciones de origen y destino. Utiliza un contrato en las finanzas tradicionales, un contrato es un acuerdo vinculante entre dos partes. En las criptomonedas, los contratos inteligentes ejecutan funciones en la cadena de bloques. inteligente que acepta depósitos de ETH que una dirección un lugar desde el que se puede enviar criptomoneda, en forma de una cadena de letras y números. diferente puede retirar».
Los usuarios generan una clave aleatoria y depositan ETH junto con el billete. A continuación, el usuario proporciona la prueba de la clave del billete desde otro monedero para retirar el ETH, rompiendo en el mundo de las criptomonedas, la ruptura de la compatibilidad con el futuro de las criptomonedas se ve en las bifurcaciones duras de una criptomoneda. así la cadena de transacciones que «solo el usuario que posee el billete puede vincular el depósito y la retirada».
El exploit implicaba un oráculo TWAP que requiere manipular el precio de un token de gobierno de un proyecto DeFi con poca liquidez. TWAP significa Time Weighted Average Price (precio medio ponderado en el tiempo) y «se construye leyendo el precio acumulado de un par comercie entre una criptodivisa y otra, por ejemplo, el par comercial BTC/ETH. de fichas ERC20 fichas diseñadas y utilizadas únicamente en la plataforma Ethereum. al principio y al final del intervalo deseado. La diferencia de este precio acumulado puede entonces dividirse por la duración del intervalo para crear un TWAP para ese periodo». Una explicación detallada del exploit está disponible a través de un hilo creado por el embajador de la comunidad Chainlink, ChainLinkGod .
Otro día, otra manipulación del oráculo TWAP
Notas:
1. La muestra de tiempo de TWAP era demasiado corta
2. La liquidez la facilidad con la que se puede comprar y vender una criptodivisa sin que ello afecte al precio global del mercado. del DEX (intercambio descentralizado)Un intercambio entre pares que permite a los usuarios comerciar con criptodivisas sin necesidad de un intermediario. es mucho menor que la del CEX
3. Oportunidades de arb en cadena eliminadas por el atacante
4. CEX-DEX arb no se produjo
5. Market-wide price not as affected as DEX pricing https://t.co/qSgpzAKGxS– ChainLinkGod.eth (@ChainLinkGod) 2 de abril de 2022
La respuesta de Finanzas Inversas
Inverse Finance se llevó a Espacios en Twitter esta tarde para hablar de los acontecimientos de la hazaña. En ella, explican cómo todas las decisiones pasan por la gobernanza en el mundo de las criptomonedas, la gobernanza se define como las personas u organizaciones que tienen poder de decisión sobre el proyecto. en la cadena del DAO. Por lo tanto, se plantea la cuestión de si esto permite una toma de decisiones rápida durante crisis como ésta. El equipo se mostró extremadamente tranquilo y sereno durante el espacio en Twitter, describiendo la manipulación del oráculo con mucha naturalidad. Culpan a la «ineficiencia del arbitraje», ya que el explotador utilizó 500.000 dólares de garantía para robar 15 millones de dólares en minutos.
El DAO (organización autónoma descentralizada) Sistema de normas que definen cómo debe funcionar una organización descentralizada y qué acciones debe llevar a cabo. ha activado ahora la regla Guardian en Anchor para evitar futuros un contrato de futuros es un acuerdo legal estandarizado para comprar o vender una determinada mercancía o activo a un precio predeterminado en un momento determinado del futuro. robos a través del protocolo el conjunto de reglas que definen las interacciones en una red, que suelen implicar el consenso, la validación de las transacciones y la participación en la red en una cadena de bloques. utilizado durante el exploit. Esto pretende «mitigar cualquier ataque futuro del mismo tipo». A continuación, explican cómo su «protección de clavijas» les permite restablecer rápidamente las clavijas y los incentivos del mercado, que utilizaron tras el exploit. El espacio de Twitter continúa durante otros 30 minutos, explicando otras características de Inverse Finance en un llamamiento para restaurar la confianza en el proyecto.
Los exploits no son hacks.
Lo que es importante señalar aquí es que el responsable de esta acción no es un hacker, como algunos pueden informar. Muchos artículos actualmente se preguntan: «Si DeFi es tan bueno, ¿por qué sigue siendo hackeado?». La respuesta es que la mayoría de los exploits no son hacks. En este último incidente no se ha descifrado ningún código o permiso de seguridad. En su lugar, un individuo se aprovechó de un descuido de los desarrolladores.
DeFi implica muchas partes móviles, que tienen menos de cinco años de antigüedad. El entusiasmo por este tipo de proyectos es lo suficientemente grande como para que los inversores estén dispuestos a depositar fondos en proyectos no probados con la esperanza de disfrutar de ganancias desmesuradas.
La ficha una unidad digital diseñada con la utilidad en mente, proporcionando acceso y uso de un sistema criptoeconómico más amplio. de gobierno de Finanzas Inversas, INV El volumen la cantidad de criptodivisas que se han negociado durante un periodo determinado, como las últimas 24 horas. medio diario es de unos 900.000 dólares, con una capitalización bursátil de 31 millones de dólares. El volumen ha subido hoy un 5000% debido a la hazaña, y el TVL del proyecto se reporta actualmente en alrededor de 27 millones de dólares. Estas cifras parecen bajas para el mundo de las criptomonedas pero, en realidad, son cantidades que cambiarían la vida de la mayoría de las personas en todo el mundo. Se necesitaron 500.000 dólares para ejecutar el exploit, lo que supuso un aumento del 2.900% para el ‘atacante’.
Al lavar el dinero a través de Tornado Cash, el argumento a favor de DeFi de que todas las transacciones son rastreables se vuelve mucho más débil. La única forma que veo es seguir el dinero. El explotador envió ETH en denominaciones de 100, 10 y 1. Por lo tanto, en este caso, seguirlo requeriría rastrear cada retiro de esas cantidades de Tornado Cash en el futuro previsible. Una tarea que no es viable. Incluso si esto pudiera lograrse, no han hecho nada ilegal. ¿Contra las condiciones de uso? Muy probablemente. ¿Cuestionablemente ético? Ciertamente, pero, como sabemos, la regulación de DeFi es un área en evolución, y este incidente se produjo por alguien que hizo operaciones completamente legales en una blockchain pública.
DeFi es un trabajo en curso. Pone de manifiesto la creciente necesidad de mejorar las prácticas y aumentar las pruebas en el desarrollo de la web3. Esperamos que la confianza del público no se vea arruinada por los informes casi diarios de los exploits de DeFi.
