A Curve Finance egy olyan súlyos hackelést szenvedett el, amelynek során maga a kezdőlap felületete (frontend) kompromittálódott, így bárki, aki használta a weboldalt, tőkéje akaratlanul is a támadó pénztárcájába került.
Támadások az kezdőlapon keresztül
Az ehhez hasonló támadások az utóbbi időben egyre népszerűbbek lettek, mivel más szakismeretet igényelnek, mint a többi típusú hack (netbűnözés). Míg a blokklánc-térben sok hacker arra törekszik, hogy a lehető legjobban megismerje a Solidity és az intelligens szerződések árnyalatait, ez a támadási forma a protokollok kezelőfelületének megzavarására összpontosít, ami azt jelenti, hogy a felhasználók tudtukon kívül más szerződésekkel lépnek kapcsolatba, mint amiket szeretnének használni.
Az ilyen típusú támadások azon az előfeltevésen alapulnak, hogy sok ember lesz, aki anélkül lép kapcsolatba a szerződéssel, hogy ellenőrizné azt, és ez lehetővé teszi, hogy sok pénzt vonjanak ki a gyanútlan ügyfelektől. A Curve Finance esetében tegnap este a támadó 570 000 dollárnyi ETH-t tudott kicsalni, mielőtt a hibát kijavították (és az ETH egy része is lefagyott).
A Curve szinte azonnal foglalkozott a felmerülő problémával, és a Twitteren azt ajánlották az embereknek, hogy amíg tart a hivatalos nyomozás ne használják a kezdőlapot.
@Zachxbt kiemelte, hogy az alaptőkéket a Fixed Float tőzsdére küldték, és itt veszítette el a hacker a zsákmány egy részét – a Fixed Float lefagyasztotta az ETH egy részét, amelyet rajtuk keresztül próbált meg mozgatni.
Hogyan viszonyulnak a hackerek a szankciókhoz?
Úgy tűnik, hogy az elmúlt napokban a hackelések és a kizsákmányolások aránya cseppet sem lassult, de az anonimitás hiánya minden bizonnyal megkönnyítette a láncon belüli nyomozók számára, hogy megtudják, mire is készülnek.
Vannak, akik vonakodnak a Tornado Cash használatától, mert attól tartanak, hogy ez rosszabb lesz, mint nem anonimizálni a tőzsdealapokat, mivel a Tornado Cash-t már szankcionálták.
Talán még aggasztóbb az a tény, hogy a DeFi egyre bonyolultabb hely lett a pénzeszközök szabad mozgatására. Ez nem csak a hackelőket érinteni, hanem azokat is, akik azt híresztelik, hogy a DeFi engedély nélküli – ez is a decentralizáció teljes hiányát mutatja.
Az Ethereum és a Web3 infrastruktúra alapvető részei készségesen együttműködtek a hatóságokkal, hogy példát mutassanak és, hogy megszorításokat vezessenek be. Először is a bejelentés arról szólt, hogy mind az Infura, mind az Alchemy, amelyek fontos RPC-szolgáltatói olyan Web3-as pénztárcáknak, mint például a Metamask, letiltották szoftverük egyes részeit, így az mostantól nem fog működni Tornado Cash címekkel. Magát a Tornado Cash webhelyet is eltávolították, és így a Github adattárral együttvéve mindenkit, aki valaha is hozzájárult a projekthez.
Ez nem a pénzmosás elleni háború tünete – ezekre az intézkedésekre már megfelelő eljárások vannak, bár nem titok, hogy sajnos ezek teljesen hatástalanok: Ronald F. Pol, a La Trobe Egyetem munkatársa szerint az ellopott digitális pénznek csak 0,1%-a kerül vissza ezeknek az intézkedéseknek köszönhetően – 99,9%-uk a bűnözőknél marad. A pénzmosás elleni intézkedések nemcsak időpocsékolás és az erőforrások teljesen hatástalan felhasználása, hanem mindenki más élményét is elrontják.
A tapasztalt hackerek hozzáértő fejlesztők, és elég jól ismerik a decentralizált cseréket és az atomcseréket, hogy kényelmesen anonimizálhassák jogtalanul szerzett nyereségeiket. Ezek az intézkedések semmilyen módon nem károsítják őket (a Tornado Cash-t már többször is áthelyezték több különböző láncon), de ártanak az átlag embernek, akik csak egyszerűen több biztonságban akarják tudni a személyes adataikat.
Chainalysis jóslata a szankciók átvilágításához – OpenSea mint bíró, esküdtszék és végrehajtó
Ebből a kudarcból a leginkább alattomos az új Chainalysis orákulum, amely ellenőrzi, hogy egy pénztárcát kijelöltek-e a szankcionálásra vagy sem. A fejlesztőket arra kérik, hogy építsék be ezeket az orákulumokat intelligens szerződéseikbe, hogy együttműködjenek a bűnüldöző szervekkel, és előtérbe hozzanak esetleges jogsértéseket.
Nyugodtan kijelenthető, hogy bár a fejlesztői közösségben némileg elterjedt ez a rendszer, ez nem egy széles körben támogatott művelet, és a fejlesztők túlnyomó többsége (különösen a kisebb protokollokon dolgozók) elutasítja az orákulum bevezetésének esélyét.
Az OpenSea, a legnagyobb NFT-piac köztudottan cenzúrázik. Valahányszor olyan NFT-gyűjtemény szerepel a platformjukon, amely bevételt kínál, azt értékpapírnak tekintik és eltávolítják. Ez számos különböző projekttel megtörtént, de a legismertebb példa a Cyber Kongz.
Az OpenSea peres eljárásait azonban érdekes megfigyelni, nem csak a törvény bizarr értelmezése miatt, hanem hogy milyen egyenetlen módon alkalmazzák őket a felhasználóikon a platformjukon, hanem az is érdekes, hogy mennyire szívesen teljesítik feletteseik parancsát. A LooksRare-nek és más NFT piactereknek sikerült kihasználniuk ezt a gyengeséget; nem azért, mert a LooksRare szükségszerűen jobb tőzsde, hanem a növekvő piaci részesedés fő oka annak, hogy kevésbé centralizáltak és jogilag kevésbé megterhelőek.
Az Egyesült Államok Tornado Cash-re vonatkozó szankcionálásának fényében a pénztárcákat most eltávolítják és törölték az OpenSea-ről, annak ellenére, hogy semmilyen törvényt nem sértettek meg.
Nem volt különösebben meglepő, hogy az Egyesült Államok hogyan kezeli ezt a kudarcot, mivel az Egyesült Államok politikája az elmúlt néhány évben következetesen alkalmatlan és fejetlen volt, kevés figyelmet fordítva a másodrendű hatásokra és a nulla oldalirányú gondolkodásra. Mindazonáltal a jogszabály egy részét orvosolni kell: habár a hackerek problémát jelentenek, maguk a protokollok már arra késztetnek, hogy a világ legjobb közreműködőivel védekezzenek, és erre igenis képesek – a Curve TVL-jének százalékában 570 ezer dollár nem is annyira feltűnő.
Nincs szükség arra, hogy a jogalkotók keményen beavatkozzanak polgáraik jogaiba és szabadságába (a kódolás világában ez az Első Törvénymódosítás alkalmazása (First ammendment). Annak ellenére, hogy az elmúlt néhány évben a DeFi-ben sok hackelés és kizsákmányolás történt, ennek megszüntetése a legrosszabb dolog, amit egy kormány tehet.
Az egyik legjobb tőzsdei platform
- A SEC és a FINRA által szabályozott
- Több mint 70 kriptovaluta, részvény, árucikkek és indexek
- 0% jutalék
- Elérhető számítógépről és mobilról is
- Alkalmazás iOS és Androidos készülékekre