Các thị trường cho vay thông minh hơn và các nhóm mũ trắng phản ứng nhanh đã cải thiện tình trạng bảo mật của DeFi sau các vụ khai thác lỗ hổng với Curve.
Đây là một thống kê vui: Theo bảng xếp hạng tổn thất do khai thác lỗ hổng toàn cầu của Rekt, ngay cả trước khi liên minh mũ trắng và các chuyên gia bảo mật tìm cách lấy lại phần lớn số tiền bị đánh cắp, vụ hack Curve chỉ lọt vào top 30 mọi thời đại.
Đối với hầu hết những người quan sát, việc khai thác lỗ hổng với Curve chắc chắn cảm thấy nghiêm trọng hơn về bề dày của nó. Đầu tiên, Curve là một giao thức nổi tiếng có khả năng phục hồi và là nguồn thanh khoản quan trọng về mặt hệ thống cho stablecoin. Ít nhất hai lần vào Chủ nhật, ngày 30 tháng 7, nhóm nói rằng tác động của vụ hack đã được giảm nhẹ, chỉ để xảy ra một vụ khai thác lỗ hổng khác lấy đi hàng triệu đô la — điều đó đủ khiến bất kỳ ai cũng phải lo lắng.
Thiệt hại đối với giao thức có thể là thứ yếu do sự bóp méo tay về các vị trí DeFi khác nhau của người sáng lập Curve, Michael Egorov.
Các khoản vay trị giá lên tới 110 triệu đô la trước khi bị hack đột nhiên có vẻ dễ bị tổn thương, vì chúng được hỗ trợ bởi token phần thưởng và quản trị CRV đã bị đánh bại của Curve. Bản thân một chu kỳ tin tức đã được dành để phân tích khả năng thanh lý có thể xảy ra, đặc biệt là với Aave trông giống như một nạn nhân có thể bị lây nhiễm.
Tuy nhiên, cuối cùng, một nhóm những người mua có vốn đầu tư tốt - nếu không muốn nói là hơi khó xảy ra - đã tham gia. Họ mua CRV trong các giao dịch không qua sàn và cho phép Egorov tái cân bằng và thanh toán những khoản nợ khổng lồ của mình. Tại thời điểm viết bài, địa chỉ chính của anh ấy chỉ có hơn 50 triệu đô la nợ stablecoin — với thêm 18 triệu đô la CRV giao ngay có sẵn để triển khai.
Trước đây tôi đã cân nhắc về cách chúng tôi có thể khái niệm hóa di sản của vụ hack này theo thời gian trong một ấn bản của Blockworks’ Empire pod. Theo quan điểm của tôi, chúng ta sẽ ghi nhớ điều này nhiều hơn vì ảnh hưởng của nó đối với cách thị trường cho vay xử lý rủi ro hơn là đối với số tiền bị mất.
Kể từ khi ghi podcast, sức khỏe của các vị trí vay của Egorov chỉ được cải thiện và nhiều tiền hơn đã quay trở lại giao thức. Alchemix nói riêng đã được phục hồi hoàn toàn.
Do đó, tôi muốn nói thêm rằng có vẻ như phản ứng của cộng đồng đối với hack và giảm thiểu hack đã đạt đến một mức cao mới — hy vọng rằng một tiêu chuẩn xuất sắc sẽ tồn tại ở đây.
Thật vậy, trong khi một số người có thể buộc tội tôi đeo kính màu hồng khi vụ hack Curve lắng xuống, thì có vẻ như DeFi, có lẽ nghịch lý thay, sẽ trở nên kiên cường hơn bất chấp nhiều cuộc tấn công thành công vào một trong những trụ cột của hệ sinh thái giao thức.
Thị trường cho vay điều chỉnh
Một trong những câu hỏi dai dẳng mà các giao thức cho vay phải đối mặt sau vụ khai thác lỗ hổng: Làm thế nào mà các vị trí vay của Michael Egorov được phép trở nên quá lớn và có khả năng gây nguy hiểm ngay từ đầu? Và, có lẽ quan trọng hơn: Ai là người đáng trách?
Người sáng lập Euler, Michael Bently, đã lên Twitter để nói rằng tập này là một ví dụ về lý do tại sao DAO – có thể được tạo thành từ những cử tri kém tinh vi hơn – lại không tối ưu để quản lý rủi ro.
Thật ra, Aave DAO, có hợp đồng với công ty lập mô hình rủi ro Gauntlet, đã phớt lờ ít nhất một cảnh báo vào tháng 6 từ những người đánh giá rủi ro trước cuộc khủng hoảng. DAO cuối cùng đã bỏ phiếu để giữ nguyên các thông số Aave v2 CRV.
Tuy nhiên, Ivan Ngmi, một cộng tác viên có biệt danh Gearbox DAO, đã nói với Blockworks trong một cuộc phỏng vấn rằng một hệ thống quản lý rủi ro theo chương trình thuần túy là không tối ưu nếu xét đến mức độ mà các giao thức khác nhau dựa vào nhau — cũng như giá token quản trị tương ứng của nhau. Gearbox suýt bị ảnh hưởng bởi vụ hack nhóm CRV/ETH chỉ trong vài ngày.
“Mỗi một trong số [các giao thức] phải xem xét các giao thức khác và xem xét các khả năng xếp tầng. Và nếu nó không có người quản lý, thì họ không thể thay đổi bất cứ điều gì, thì điều đó tùy thuộc vào người dùng của các giao thức đó,” Ngmi viết.
Vị trí CRV hơi độc đáo. Trong trường hợp này, một người sáng lập giao thức, trong khi kiểm soát gần như phần lớn lượng thả nổi của token, đã cho vay ở nhiều địa điểm và sử dụng các token đó làm tài sản thế chấp — điều mà quản trị trên chuỗi thuần túy khó phát hiện hoặc giảm thiểu.
Tuy nhiên, các hệ thống có thể được làm cứng, nếu không được hoàn thiện. Trong một cuộc phỏng vấn với Blockworks, Marc Zeller, người sáng lập Sáng kiến Aave-Chan, cho biết một đề xuất mới sẽ từ từ loại bỏ vị trí v2 của Egorov trong suốt một “quý”.
“Quá trình này đang diễn ra và đạt được kết quả chậm, nhưng việc khai thác lỗ hổng pool CRV đã đẩy nhanh tiến độ […],” ông viết.
Ngoài ra, một tác dụng phụ có lợi của việc Egorov cân bằng lại các vị trí của mình là tổng giá trị bị khóa (TVL) chảy từ Aave v2, trong đó các tham số rủi ro vẫn chưa được giảm thiểu hoàn toàn, sang v3, trong đó giới hạn vay có thể hạn chế người dùng có quyền lực tốt hơn.
Zeller nói thêm: “Cuối cùng, rủi ro tổng thể trong phiên bản 2 hiện đã giảm và việc áp dụng phiên bản v3 tăng lên, vì vậy điều này là tích cực”.
Mặc dù dường như không có câu trả lời rõ ràng về cách giải quyết hoàn toàn tình huống trong đó một người dùng kiểm soát việc cung cấp mã thông báo thống trị như vậy, nhưng thị trường cho vay ít nhất đang tiếp cận quản lý rủi ro theo cách khác.
Egorov từ chối bình luận khi được liên lạc, với lý do việc quản lý các vị trí của anh ấy đang diễn ra.
SEAL 911
Hiện tượng “war room” — trong đó các thành viên cộng đồng và tình nguyện viên hợp tác với các nhà phát triển giao thức bị tấn công nhằm cố gắng giảm thiểu tác động của việc khai thác — đã đóng một vai trò quan trọng trong nhiều lần khôi phục thành công gần đây. Nhưng những nỗ lực như vậy có thể đầy phức tạp.
Hai công ty bảo mật, Blocksec và Supremacy, đã thu hút sự chú ý trên mạng xã hội vì đã tweet chi tiết về lỗ hổng trình biên dịch Vyper khi quá trình khai thác đang diễn ra.
Robert Chen của OtterSec đã viết một bài blog tuyệt vời về cách hai hoạt động mũ trắng khác nhau bị đánh bại chỉ trong vài phút. Trong vụ tấn công này, khi một lỗ hổng đang diễn ra dẫn đến nhiều cuộc tấn công, việc công bố thông tin về các lần khai thác có thể dẫn đến tổn thất lớn hơn bằng cách cung cấp thêm thông tin cho những kẻ tấn công tiềm năng, cho phép chúng vượt qua những kẻ tấn công mũ trắng.
Tuy nhiên, tôi thông cảm với Blocksec, người đã lập luận rằng vì họ không thể liên lạc với các nhóm bị ảnh hưởng nên việc giải thích lỗ hổng cho công chúng để người dùng có thể rút tiền là lựa chọn đúng đắn về mặt đạo đức.
Cuối cùng, đưa đúng người vào phòng chiến tranh (mà không thu hút sự chú ý của những người sẽ trở thành mũ đen) có thể là một bài toán hóc búa giữa con gà và quả trứng. Tuy nhiên, có lẽ sau Curve, cộng đồng đã phát triển một giải pháp khả thi.
Vào thứ Hai, nhà nghiên cứu bảo mật Paradigm nổi tiếng và có bút danh là samczsun đã công bố ra mắt dịch vụ phản hồi mũ trắng “thử nghiệm” có tên là SEAL 911. Dịch vụ này, bao gồm một bot Telegram, được thiết kế để kết nối các nhóm bị tấn công gần đây với một nhóm chuyên gia bảo mật và cựu chiến binh “war room”.
Storm, một cộng tác viên có biệt danh là Yearn và thường xuyên tham gia war room, đã nói với Blockworks trong một cuộc phỏng vấn rằng dịch vụ này nhằm giúp giải quyết điểm khó khăn trong việc kết nối các chuyên gia sẵn sàng giúp đỡ các đội bị ảnh hưởng. Storm cũng là một trong những thành viên được công bố của nhóm SEAL 911.
“Trước đây, bạn cần có những người bảo mật đáng tin cậy trong mạng của mình trong trường hợp xảy ra sự cố hoặc trường hợp khẩn cấp […] hy vọng điều này mang đến cho bạn đường dây nóng chỉ bằng một cú nhấp chuột với các nhà nghiên cứu bảo mật có kinh nghiệm mà chúng tôi có thể bảo đảm,” ông viết.
Theo Storm, dịch vụ này đã được sử dụng vì các thành viên của giao thức Cypher dựa trên Solana đã tiếp cận các thành viên SEAL vào thứ Hai ngay sau khi dịch vụ được công bố.
Hơn nữa, SEAL 911 đến vào thời điểm mà các phản ứng mũ trắng có thể đạt mức hiệu quả cao nhất. Kể từ khi trả lại tiền từ vụ hack Euler, các nhà đàm phán đã liên tục đảm bảo việc trả lại tiền từ việc khai thác lỗ hổng.
Vào ngày 30 tháng 7, 71 triệu đô la đã bị rút khỏi quỹ Curve. Tính đến hôm nay, 75% số tiền đó đã được thu hồi thông qua các hoạt động và đàm phán mũ trắng. Chỉ một người tận dụng lỗ hổng vẫn giữ tiền — và thậm chí họ phải đối mặt với áp lực ngày càng tăng dưới hình thức tiền thưởng cộng đồng.
Đó có thể là một chút an ủi đối với những người gửi tiền tin rằng họ đang rơi vào tình trạng chao đảo trong những giờ phút tồi tệ nhất của vụ hack. Nhưng giữa những cải tiến về giao thức và thời điểm gặp gỡ nhau trong cộng đồng bảo mật, hệ sinh thái DeFi có vẻ lành mạnh hơn sau các cuộc tấn công Curve so với trước đây.
Nguồn: BlockWorks
Đây là một thống kê vui: Theo bảng xếp hạng tổn thất do khai thác lỗ hổng toàn cầu của Rekt, ngay cả trước khi liên minh mũ trắng và các chuyên gia bảo mật tìm cách lấy lại phần lớn số tiền bị đánh cắp, vụ hack Curve chỉ lọt vào top 30 mọi thời đại.
Đối với hầu hết những người quan sát, việc khai thác lỗ hổng với Curve chắc chắn cảm thấy nghiêm trọng hơn về bề dày của nó. Đầu tiên, Curve là một giao thức nổi tiếng có khả năng phục hồi và là nguồn thanh khoản quan trọng về mặt hệ thống cho stablecoin. Ít nhất hai lần vào Chủ nhật, ngày 30 tháng 7, nhóm nói rằng tác động của vụ hack đã được giảm nhẹ, chỉ để xảy ra một vụ khai thác lỗ hổng khác lấy đi hàng triệu đô la — điều đó đủ khiến bất kỳ ai cũng phải lo lắng.
Thiệt hại đối với giao thức có thể là thứ yếu do sự bóp méo tay về các vị trí DeFi khác nhau của người sáng lập Curve, Michael Egorov.
Các khoản vay trị giá lên tới 110 triệu đô la trước khi bị hack đột nhiên có vẻ dễ bị tổn thương, vì chúng được hỗ trợ bởi token phần thưởng và quản trị CRV đã bị đánh bại của Curve. Bản thân một chu kỳ tin tức đã được dành để phân tích khả năng thanh lý có thể xảy ra, đặc biệt là với Aave trông giống như một nạn nhân có thể bị lây nhiễm.
Tuy nhiên, cuối cùng, một nhóm những người mua có vốn đầu tư tốt - nếu không muốn nói là hơi khó xảy ra - đã tham gia. Họ mua CRV trong các giao dịch không qua sàn và cho phép Egorov tái cân bằng và thanh toán những khoản nợ khổng lồ của mình. Tại thời điểm viết bài, địa chỉ chính của anh ấy chỉ có hơn 50 triệu đô la nợ stablecoin — với thêm 18 triệu đô la CRV giao ngay có sẵn để triển khai.
Trước đây tôi đã cân nhắc về cách chúng tôi có thể khái niệm hóa di sản của vụ hack này theo thời gian trong một ấn bản của Blockworks’ Empire pod. Theo quan điểm của tôi, chúng ta sẽ ghi nhớ điều này nhiều hơn vì ảnh hưởng của nó đối với cách thị trường cho vay xử lý rủi ro hơn là đối với số tiền bị mất.
Kể từ khi ghi podcast, sức khỏe của các vị trí vay của Egorov chỉ được cải thiện và nhiều tiền hơn đã quay trở lại giao thức. Alchemix nói riêng đã được phục hồi hoàn toàn.
Do đó, tôi muốn nói thêm rằng có vẻ như phản ứng của cộng đồng đối với hack và giảm thiểu hack đã đạt đến một mức cao mới — hy vọng rằng một tiêu chuẩn xuất sắc sẽ tồn tại ở đây.
Thật vậy, trong khi một số người có thể buộc tội tôi đeo kính màu hồng khi vụ hack Curve lắng xuống, thì có vẻ như DeFi, có lẽ nghịch lý thay, sẽ trở nên kiên cường hơn bất chấp nhiều cuộc tấn công thành công vào một trong những trụ cột của hệ sinh thái giao thức.
Thị trường cho vay điều chỉnh
Một trong những câu hỏi dai dẳng mà các giao thức cho vay phải đối mặt sau vụ khai thác lỗ hổng: Làm thế nào mà các vị trí vay của Michael Egorov được phép trở nên quá lớn và có khả năng gây nguy hiểm ngay từ đầu? Và, có lẽ quan trọng hơn: Ai là người đáng trách?
Người sáng lập Euler, Michael Bently, đã lên Twitter để nói rằng tập này là một ví dụ về lý do tại sao DAO – có thể được tạo thành từ những cử tri kém tinh vi hơn – lại không tối ưu để quản lý rủi ro.
Thật ra, Aave DAO, có hợp đồng với công ty lập mô hình rủi ro Gauntlet, đã phớt lờ ít nhất một cảnh báo vào tháng 6 từ những người đánh giá rủi ro trước cuộc khủng hoảng. DAO cuối cùng đã bỏ phiếu để giữ nguyên các thông số Aave v2 CRV.
Tuy nhiên, Ivan Ngmi, một cộng tác viên có biệt danh Gearbox DAO, đã nói với Blockworks trong một cuộc phỏng vấn rằng một hệ thống quản lý rủi ro theo chương trình thuần túy là không tối ưu nếu xét đến mức độ mà các giao thức khác nhau dựa vào nhau — cũng như giá token quản trị tương ứng của nhau. Gearbox suýt bị ảnh hưởng bởi vụ hack nhóm CRV/ETH chỉ trong vài ngày.
“Mỗi một trong số [các giao thức] phải xem xét các giao thức khác và xem xét các khả năng xếp tầng. Và nếu nó không có người quản lý, thì họ không thể thay đổi bất cứ điều gì, thì điều đó tùy thuộc vào người dùng của các giao thức đó,” Ngmi viết.
Vị trí CRV hơi độc đáo. Trong trường hợp này, một người sáng lập giao thức, trong khi kiểm soát gần như phần lớn lượng thả nổi của token, đã cho vay ở nhiều địa điểm và sử dụng các token đó làm tài sản thế chấp — điều mà quản trị trên chuỗi thuần túy khó phát hiện hoặc giảm thiểu.
Tuy nhiên, các hệ thống có thể được làm cứng, nếu không được hoàn thiện. Trong một cuộc phỏng vấn với Blockworks, Marc Zeller, người sáng lập Sáng kiến Aave-Chan, cho biết một đề xuất mới sẽ từ từ loại bỏ vị trí v2 của Egorov trong suốt một “quý”.
“Quá trình này đang diễn ra và đạt được kết quả chậm, nhưng việc khai thác lỗ hổng pool CRV đã đẩy nhanh tiến độ […],” ông viết.
Ngoài ra, một tác dụng phụ có lợi của việc Egorov cân bằng lại các vị trí của mình là tổng giá trị bị khóa (TVL) chảy từ Aave v2, trong đó các tham số rủi ro vẫn chưa được giảm thiểu hoàn toàn, sang v3, trong đó giới hạn vay có thể hạn chế người dùng có quyền lực tốt hơn.
Zeller nói thêm: “Cuối cùng, rủi ro tổng thể trong phiên bản 2 hiện đã giảm và việc áp dụng phiên bản v3 tăng lên, vì vậy điều này là tích cực”.
Mặc dù dường như không có câu trả lời rõ ràng về cách giải quyết hoàn toàn tình huống trong đó một người dùng kiểm soát việc cung cấp mã thông báo thống trị như vậy, nhưng thị trường cho vay ít nhất đang tiếp cận quản lý rủi ro theo cách khác.
Egorov từ chối bình luận khi được liên lạc, với lý do việc quản lý các vị trí của anh ấy đang diễn ra.
SEAL 911
Hiện tượng “war room” — trong đó các thành viên cộng đồng và tình nguyện viên hợp tác với các nhà phát triển giao thức bị tấn công nhằm cố gắng giảm thiểu tác động của việc khai thác — đã đóng một vai trò quan trọng trong nhiều lần khôi phục thành công gần đây. Nhưng những nỗ lực như vậy có thể đầy phức tạp.
Hai công ty bảo mật, Blocksec và Supremacy, đã thu hút sự chú ý trên mạng xã hội vì đã tweet chi tiết về lỗ hổng trình biên dịch Vyper khi quá trình khai thác đang diễn ra.
Robert Chen của OtterSec đã viết một bài blog tuyệt vời về cách hai hoạt động mũ trắng khác nhau bị đánh bại chỉ trong vài phút. Trong vụ tấn công này, khi một lỗ hổng đang diễn ra dẫn đến nhiều cuộc tấn công, việc công bố thông tin về các lần khai thác có thể dẫn đến tổn thất lớn hơn bằng cách cung cấp thêm thông tin cho những kẻ tấn công tiềm năng, cho phép chúng vượt qua những kẻ tấn công mũ trắng.
Tuy nhiên, tôi thông cảm với Blocksec, người đã lập luận rằng vì họ không thể liên lạc với các nhóm bị ảnh hưởng nên việc giải thích lỗ hổng cho công chúng để người dùng có thể rút tiền là lựa chọn đúng đắn về mặt đạo đức.
Cuối cùng, đưa đúng người vào phòng chiến tranh (mà không thu hút sự chú ý của những người sẽ trở thành mũ đen) có thể là một bài toán hóc búa giữa con gà và quả trứng. Tuy nhiên, có lẽ sau Curve, cộng đồng đã phát triển một giải pháp khả thi.
Vào thứ Hai, nhà nghiên cứu bảo mật Paradigm nổi tiếng và có bút danh là samczsun đã công bố ra mắt dịch vụ phản hồi mũ trắng “thử nghiệm” có tên là SEAL 911. Dịch vụ này, bao gồm một bot Telegram, được thiết kế để kết nối các nhóm bị tấn công gần đây với một nhóm chuyên gia bảo mật và cựu chiến binh “war room”.
Storm, một cộng tác viên có biệt danh là Yearn và thường xuyên tham gia war room, đã nói với Blockworks trong một cuộc phỏng vấn rằng dịch vụ này nhằm giúp giải quyết điểm khó khăn trong việc kết nối các chuyên gia sẵn sàng giúp đỡ các đội bị ảnh hưởng. Storm cũng là một trong những thành viên được công bố của nhóm SEAL 911.
“Trước đây, bạn cần có những người bảo mật đáng tin cậy trong mạng của mình trong trường hợp xảy ra sự cố hoặc trường hợp khẩn cấp […] hy vọng điều này mang đến cho bạn đường dây nóng chỉ bằng một cú nhấp chuột với các nhà nghiên cứu bảo mật có kinh nghiệm mà chúng tôi có thể bảo đảm,” ông viết.
Theo Storm, dịch vụ này đã được sử dụng vì các thành viên của giao thức Cypher dựa trên Solana đã tiếp cận các thành viên SEAL vào thứ Hai ngay sau khi dịch vụ được công bố.
Hơn nữa, SEAL 911 đến vào thời điểm mà các phản ứng mũ trắng có thể đạt mức hiệu quả cao nhất. Kể từ khi trả lại tiền từ vụ hack Euler, các nhà đàm phán đã liên tục đảm bảo việc trả lại tiền từ việc khai thác lỗ hổng.
Vào ngày 30 tháng 7, 71 triệu đô la đã bị rút khỏi quỹ Curve. Tính đến hôm nay, 75% số tiền đó đã được thu hồi thông qua các hoạt động và đàm phán mũ trắng. Chỉ một người tận dụng lỗ hổng vẫn giữ tiền — và thậm chí họ phải đối mặt với áp lực ngày càng tăng dưới hình thức tiền thưởng cộng đồng.
Đó có thể là một chút an ủi đối với những người gửi tiền tin rằng họ đang rơi vào tình trạng chao đảo trong những giờ phút tồi tệ nhất của vụ hack. Nhưng giữa những cải tiến về giao thức và thời điểm gặp gỡ nhau trong cộng đồng bảo mật, hệ sinh thái DeFi có vẻ lành mạnh hơn sau các cuộc tấn công Curve so với trước đây.
Nguồn: BlockWorks