Автоматические протоколы получения дохода построили наиболее убедительный розыгрыш на рынке, в котором хранение в сейфе было всем, что пользователь должен сделать, а протокол сам будет заботиться о всех остальных вещах.
Для пользователей, желающих получить доступ к повышенному доходу Curve без ручного управления CRV-lockами, голосами, врапперами, гейджами и инセンсами, Stake DAO предлагал продукт, который упаковывал всю необходимую информацию и, делая это, также упаковывал то, что могло сломаться.
По данным Blockaid, атакующий мент на Arbitrum через подозрительный компромисс ключа деплоя и начал обменять токены на ETH.
Атакующий изменил LayerZero-связанные конфигурации-партнеров для подделывания кросс-цепной сообщения до ментинга 5,446,744,073,709 vsdCRV, преобразования части в примерно 43,78 ETH, с реализованной вытяжкой под влиянием ликвидности, ограничивающей номинальный мент.
Stake DAO посоветовал пользователям не взаимодействовать с vsdCRV в активном режиме. Инцидент распространился на Curve, который предупредил пользователей в зараженном Arbitrum LlamaLend, и Beefy Finance заморозил подключенную ячейку с доступом к Curve и Convex.
Умные Lockers Stake DAO позволяют пользователям хранить управляющие токены, получать ликвидные sdTokens и получить повышенный доход, не занимаясь напрямую управлением Curve-locking стеком.
Интерфейс ячейки скрывает все это и, делая это, также скрывает ключи деплоя, кросс-цепные сообщения, враппер-токены, счетчики и зависимости оракула, через которые прошла атака.
Диаграмма сопоставляющая четыре шага, которые пользователи видят в автоматических ячейках получения дохода, с семью скрытыми слоями риска, которые они наследуют внизу.
Автоматическая выдача дохода перемещает сложность на второй план, перемещение, которое становится видимым только тогда, когда в скрытом слое что-то сломается.
Идо Бен-Натан, со-основатель и главный исполнительный директор Blockaid, обозначил разрыв безопасности в заметке:
“Где бы ни было значение в блокчейне, там будут атакующие, пытаясь его эксплуатировать, и это верно независимо от того, простая или сложная стратегия протокола. Две вещи здесь имеют значение. Сначала, есть ли у протоколов правильная инфраструктура управления, чтобы гарантировать, что нет простого места для компромисса. Второе, есть ли у протоколов реальное-в-реал-time инструменты безопасности в блокчейне, которые валидируют каждый транзакт перед его исполнением.”
Более широкий пересмотр, с примерно 635 миллионами долларов США, потерянными в 28 инцидентах, вызванных социальной инженерией, мошенничеством мостов и АИ-ассистированными разведками.
Мануэль Араоз, который совместно основал OpenZeppelin и являлся его CTO до 2019 года, написал, что сейчас он считает, что АИ-кодовые агенты стали, в то время как защитники должны фиксить каждый бугор и атакующие должны только один.
OpenZeppelin публично отверг этот тезис, заявив, что посты Араоза не отражают позицию компании. Асимметрия, которую он описывает, все же привлекла серьезное внимание за пределами спора об ответственности.
Бен-Натан дает защитную преимущество в реальном-во-время инструментах и адаптивном обнаружении угроз:
“Атакующие все больше используют АИ, чтобы двигаться быстрее и находить новые векторы атаки. Однако поставщики онлайн-безопасности в блокчейне, такие как Blockaid, имеют глубокий опыт использования АИ для того, чтобы оставаться впереди. Мы продолжаем анализировать и адаптироваться к новым моделям угроз в реальном-во-время, используя АИ-агентов для расследований, моделирования и поиска вредоносных шаблонов.”
Этот реальный-во-время способ делает валидацию транзакций жизнеспособной мерой против скорости, с которой атакующие получают преимущество, и для автоматических протоколов получения дохода, контрольами и мониторингом стало настоящим слоям безопасности, на которые опирается интерфейс ячейки.
В случае, если сейф возвращается в сторону рынка, более важные компромиссы ключей, мошенничество мостов, контагион оракула и паузы сейфа влекут за собой скидку на абстракцию для автоматических продуктов получения дохода.
Пользователи требуют более высоких доходов для компенсации за скрытый стек риска, что делает труднее поддерживать один-нажмите кнопку-розыгрыш получения дохода без явного раскрытия рисков, и меньшие сейфы теряют TVL, поскольку интеграции становятся рискованными.
Паттерн инцидента, который определил апрель, протекает через остаток года, и каждый новый инцидент укрепляет представление о том, что автоматическая выдача дохода свозит риски, которые пользователи не могут оценить независимо.
В случае, если протоколы принимают архитектуру, которую описывает Бен-Натан, состоящую из контролей управления, которые исключают простые точки компромисса, реального-в-реальном валидации транзакций и непрерывного мониторинга шаблонов угроз, автоматическая выдача дохода выживает в более стандартизованной форме.
Формальная верификация, мультиподписные контролы и мониторинг в режиме выполнения становятся стандартной инфраструктурой, и продукты, которым удается сохранить доверие потребителей, — это те, которые раскрыли и управляют стеком зависимостей.
Доставщики безопасности и панели мониторинга риска встраиваются в интерфейс сейфа сами, и конкурирующее преимущество смещается от сокрытия сложности до доказательства того, какие части ее контролируют.
Сценарий: что происходит? Влияние на пользователей Влияние на протоколы Слабый случай Более важные компромиссы ключей, мошенничество мостов, контагион оракула и паузы сейфа Пользователи требуют более высоких доходов для компенсации за скрытый стек risks Меньшие сейфы теряют TVL; интеграции становятся рискованными Базовый случай Протоколы добавляют более четкие раскрытия, мониторинг и экстренные контролы Потребители все еще используют сейфы, но с большей осторожностью Безопасность становится частью продуктового UX Силь
По материалам CryptoSlate