Curve Finance претърпя експлойт, при който неговият front end беше компрометиран, така че всеки, който взаимодейства със сайта, неволно би дал средствата си в портфейла на нападателя.
Атаки срещу front end
Атаки като тази напоследък стават все по-популярни, тъй като изискват различен набор от умения в сравнение с други видове хакове. Въпреки че много хакери в блокчейн пространството се стремят да се запознаят, доколкото е възможно, с нюансите на Solidity и интелигентните договори, тази форма на атака е фокусирана върху намеса в предния край на протокола, което означава, че потребителите несъзнателно взаимодействат с договори, различни от това, което са подозирали.
Този тип атака се основава на предпоставката, че ще има много хора, които ще взаимодействат с договора, без да го проверяват, и че това ще направи възможно извличането на много средства от нищо неподозиращи клиенти. В случая с Curve Finance снощи, нападателят успя да измъкне $570k в ETH, преди грешката да бъде коригирана (и част от ETH беше замразена).
Curve почти веднага обърна внимание на разглеждания проблем и сподели в Twitter, че хората не трябва да използват front end-a, докато проучват.
@Zachxbt скоро подчерта, че средствата са били изпращани на борсата Fixed Float и това е мястото, където хакерът е загубил част от предимството си — Fixed Float замрази част от ETH, който той се опита да прехвърли през тяхната борса.
Как хакерите се справят със санкциите?
Процентът на хакове и експлойти през последните няколко дни не изглежда да се е забавил ни най-малко, но липсата на анонимност със сигурност е улеснила детективите във веригата да разберат какво са намислили.
Някои се въздържат да използват Tornado Cash, защото се страхуват, че това ще бъде по-лошо от липсата на анонимност на средствата, като се има предвид, че Tornado Cash вече е санкциониран.
Може би по-притеснителен обаче е фактът, че DeFi става все по-трудно място за свободно движение на средства. Това не трябва да е безпокойство само за тези, които се занимават с хакове, но също така трябва да е загриженост за тези, които разпространяват идеята, че DeFi е без разрешение – това също демонстрира пълната липса на децентрализация.
Основните части на инфраструктурата на Ethereum и Web3 доброволно си сътрудничат с властите, за да упражнят влиянието си и да потиснат свободата. Първо, имаше съобщение, че както Infura, така и Alchemy, ключовите доставчици на RPC за Web3 портфейли като Metamask, деактивираха части от своя софтуер, така че сега няма да функционират с адресите на Tornado Cash. Уебсайтът Tornado Cash също беше свален, заедно с хранилищата на Github на всички, които някога са допринесли за проекта.
Това не е симптоматично за война срещу прането на пари – вече има надлежни процеси за тези мерки и не е тайна, че тези мерки са напълно неефективни: според Роналд Ф. Пол от университета La Trobe само 0,1% от откритите откраднати биват възстановени от престъпници благодарение на тези мерки – 99,9% не са. Мерките срещу изпирането на пари са не само загуба на време и напълно неефективно използване на ресурси, но и вредят на преживяването за всички останали.
Опитните хакери са компетентни разработчици и са достатъчно запознати с това как да използват децентрализирани обмени и атомни суапове, за да могат удобно да анонимизират своите неправомерно придобити печалби. Тези мерки няма да им навредят значително по никакъв начин (Tornado Cash вече е раздвоен няколко пъти в няколко различни вериги), но ще навредят на hoi polloi, които просто искат повече поверителност.
Оракулът на Chainalysis за скрининг на санкции – OpenSea като съдия, жури и екзекутор
Най-коварното от този провал е новият оракул на Chainalysis, който проверява дали даден портфейл не е определен за санкциониране. Разработчиците са поканени да внедрят тези оракули в своите интелигентни договори, за да си сътрудничат с правоприлагащите органи и да подчертаят всички потенциални неправомерни действия.
Безопасно е да се каже, че въпреки че има известно приемане сред общността на разработчиците, това не е широко поддържано внедряване и огромното мнозинство от разработчиците (особено тези, които работят върху по-малки протоколи) отхвърлят възможността да внедрят оракула.
OpenSea, най-големият NFT пазар, е добре известен с това, че е с цензура. Всеки път, когато NFT колекция е посочена на тяхната платформа, която предлага доходност, тя се счита за ценна книга и се премахва. Това се случи с различни проекти, но най-известният пример е Cyber Kongz.
Процедурите на OpenSea за съдебни спорове са интересни за гледане, не само поради странното тълкуване на закона и неравномерния начин, по който го прилагат към потребителите на тяхната платформа, но и благодарение на това колко силно искат да изпълняват наддаването на своите господари.
LooksRare и други NFT пазари успяха да се възползват от тази слабост; а това не е така, защото LooksRare непременно е по-добра борса, но основната причина за нарастващия пазарен дял е благодарение на факта, че те са по-малко централизирани и по-малко съдебно обременителни.
В светлината на санкционирането на Tornado Cash от САЩ, портфейлите вече се премахват и делистират от OpenSea, въпреки факта, че не са нарушени закони.
Справянето на САЩ с този провал не е особено изненадващо, тъй като през последните няколко години политиката в САЩ беше последователно неспособна и некомпетентна, с малко внимание към ефектите от втори ред и нулево странично мислене.
Независимо от това, част от това законодателство трябва да бъде коригирано: въпреки че хакерите са проблем, самите протоколи вече са стимулирани да се защитават с най-добрите участници в света и са напълно способни да го направят – като процент от TVL на Curve, $570k не се забелязват.
Няма нужда законодателите да се намесват грубо в правата (защото кодексът е израз на Първата поправка) и свободите на своите граждани и тези на гражданите в световен мащаб. Въпреки литанията от хакове и експлойти през последните няколко години в DeFi, регулирането му да не съществува е най-лошото нещо, което едно правителство би могло да направи.
Battle Infinity - Най-добрата предварителна продажба на криптовалути 2022
- Листнат в Pancake и LBANK - battleinfinity.io
- Фентъзи спортни игри
- Играйте, за да печелите - IBAT токен
- Задвижван от Unreal Engine
- Одитиран от Solid Proof, проверен от CoinSniper
