Automated yield protocols створили найпритягальнишу рекламну пропозицію про те, що просто внесення коштів в сховище досить для отримання прибутку, а всі інші справи робили протоколи самостійно.
Для користувачів, яким необхідна експозиція до підвищеної доходності від Curve без ручного управління CRV блоками, голосуванням, обгортанням, індикаторами і стимулами, Stake DAO запропонував продукт, який упаковував повний стэк за просту інтерфейс та, виконуючи цим процес, також упаковував те, чим міг розбити.
За інформацією Blockaid, нападник створив на Arbitrum шляхом підозрілого порушення ключа розгортання та почав обмінювати токени на ETH.
Нападник змінив налаштування спільнотних конфігурацій LayerZero для створення фальшивої міжмережної повідомлення перед тим як створити 5,446,744,073,709 vsdCRV, перетворивши деяку частину на близько 43,78 ETH, оскільки обмеження ліквідності обмежували реальну експлуатацію нижче номінальної виплати.
Stake DAO попередила користувачів не взаємодіяти із vsdCRV протягом активної ситуації Інцидент розповсюдився на Curve, яка попередила користувачів щодо зімкненої LlamaLend на Arbitrum, та Beefy Finance зупинив пов’язаний сховище із експозицією до Curve і Convex.
В Liquid Lockers Stake DAO користувачі можуть внесені урядові токени, отримати лігідні sdTokens, отримати підвищену прибутковість і не керувати стэком блокування Curve прямо.
Інтерфейс сховища ховає усе це та, виконуючи цим процес, також ховає ключі розгортання, повідомлення міжмережного спілкування довіри, облік обгорткових токенів та залежності від oracle, які було здійснено через експлуатацію.
Інформаційний графік порівнює чотири кроки користувача, яких бачать в автоматизованих сховищах прибутку проти сімох прихованих ризикових шарів, які вони успадковують під ними.
Автоматизовані сховища прибутку відсувають складність в сторони, яка тільки починає відкриватися, коли щось у прихованих шарах починає виходити з ладу.
Ідо Бен-Натан, співзасновник і керівник Blockaid, висловився щодо безпеки в своїй зверненні:
“Де є цінність в блокчейні, там будуть нападники, які спробують її експлуатувати, незалежно від того, яка складність стратегії протокола
Дві речі мають значення тут Перше, чи має протокол належну інфраструктуру управління, щоб забезпечити відсутність простих місць для експлуатації
Друге, мати справжнє часову реальну інструментарій безпеки в блокчейні, який підтверджує кожну операцію перед виконанням.” В більш широкому розумінні, майже 635 мільйонів було втрачено протягом 28 інцидентів, спричинених соціальної інженерії, міткою містка і розвідкою з використанням AI.
Мануель Араоз, співзасновник OpenZeppelin і його колишній керівник відділу досліджень та розробок до 2019 року, написав, що тепер вважає, що AI-кодові агенти є дуже ефективними В той час як захисники повинні виправляти кожну помилку, нападники тільки повинні одну.
Дані графіки показують, що квітень був найгіршим місяцем в історії DeFi із втратами майже на 635 мільйонів доларів протягом 28 інцидентів та однією з найбільших експлуатацій 5,4 трильйонами vsdCRV.
OpenZeppelin офіційно відхилили цей погляд, стверджуючи, що заяви Араоз не відбивали позицію компанії
Асиметрія, яку він вказував, все ж привернула увагу далі від розслідування відповідальності.
Бен-Натан вважає, що захист здійснюється шляхом використання інструментарів реального часу та адаптивної перевірки загроз:
“Нападники все більше використовують AI для швидкого руху та відкриття нових шляхів нападу Однак, компанії, що забезпечують мережеву безпеку, такі як Blockaid, мають глибоку досвід використання AI, щоб бути попередженими
Ми постійно аналізовуємо та адаптовуємо нові шаблони загроз у реальному часі за допомогою інструменталів AI для розслідувань, симуляцій та пошуку порушень.” Реальна здатність до підтвердження операцій робить це можливим захистити від швидкості, яку мають нападники, а для автоматизованих сховищ прибутку управління та моніторинг стали справжньою захистом, яким інтерфейс сховища залежить.
Далі сховище в випадку, коли більше ключових компрометуються, відбуваються містки, контагіонація oracle та зупинки сховищ викликають зниження вартості абстракції для автоматизованих сховищ прибутку.
Користувачі вимагають вищого прибутку для компенсації прихованих ризиків сховища, що робить його важчим підтримувати рекламну пропозицію без явного розкриття ризиків і менші сховища втрачають свій TVL після ризикованих інтеграцій.
Інцидентний шаблон, який визначив квітень, продовжується протягом решти року, а кожен новий інцидент зміцнює уявлення про те, що автоматизовані сховища належать до високоризикових продуктів.
У випадку з підйомом, протоколи починають використовувати архітектуру, яку описує Бен-Натан, складається з управління, яке видаляє можливі місця для експлуатації, підтвердження операцій у реальному часі та постійного спостереження за загрозами, і автоматизовані сховища можуть вижити у більш стандартизованій формі.
Формальна верифікація, багатошвидкісні механізми контролю та спостереження за виконанням стають стандартною інфраструктурою, а продукти, які зберігають довіру споживачів, розкривають та керують залежність від стеку.
Навіщо відбувається Сценарій Що відбувається Впливає на користувачів Впливає на протоколи Різниця між підйомом та підйомом Більше ключових компрометуються містки інциденти контагіонація oracle зупинки сховищ Користувачі вимагають вищого прибутку для прихованих ризиків менші сховища втрачають свій TVL інтеграції стають ризиковані Базовий випадок Протоколи починають розкривати більш інтуїтивну інформацію під час моніторингу та зупинення Витрат споживачі продовжують використовувати сховища, але з більшою увагою Безпека стає частиною інтерфейсу користувача Зростання В реальному часі підтвердження операцій багатошвидкісні механізми контролю багатошвидкісні механізми контролю спостереження за виконанням стають стандартною інфраструктурию Користувачі знову віряють в перевірені продукти Силиші протоколи консолідація довіри і ліквідності Різниця між зростанням та зростанням була завжди щодо відсунення складності в сторони і протягом років усі протоколи були в захваті цим процесом невидимої підтримки Інцидент зі Stake DAO показує що відбувається коли ця невидимість починає виходити з ладу, а рекорд квітня показує що це відбувається більш часто.
Наступне автоматизоване сховище, яке здобуде довіру споживачів, зробить це, показуючи користувачам які частини стека контролюються, керуються та ізольовані та що відбувається, коли одна частина починає виходити з ладу.
Пост був надрукований першим на сайті.
За матеріалами CryptoSlate