(Lemon_tm/iStock / Getty Images Plus)

Дефи выродки сильно ударило по Высокопреосвященства эксплуатировать будут частично компенсированы

Все началось с пары ретвитов.

28 сентября Эндрю Кронье, глава компании Yearn Finance, ретвитнул графический дизайн для нового проекта под названием Eminence, который Кронье назвал протоколом DeFi для “игровой мультивселенной”.” Игра якобы является спин-оффом торговой карточной игры Kickstarter 2016 года под названием Eminence: Xander’s Tales и может включать в себя незаменяемые токены (NFT).

Ретвиты включали графические рисунки слов “Спартанец” и “морской пехотинец” (игривые кивки в ответ на соответствующие прозвища, данные фанатам Synthetix и Chainlink) и были “художественным тизером”, предназначенным для “демонстрации всех различных кланов в игре”, по словам Кронье.

Регистрируясь, вы будете получать электронные письма о продуктах CoinDesk и соглашаетесь с нашими правилами и условиями и политикой конфиденциальности.

Кронье нажал кнопку отправить в Твиттере и отправился спать. Когда он просыпался, он обнаруживал, что твит был, по-видимому, достаточным сигналом для пользователей DeFi, чтобы сбросить Dai стоимостью 15 миллионов долларов в многодневный протокол, который, будучи в главной сети Ethereum, все еще тестировался альфа-тестированием Кронье и его командой. У Eminence даже не было веб-сайта, который можно было бы использовать в качестве интерфейса для торговли; первые пользователи вместо этого обменивались токенами непосредственно со смарт-контрактами Eminence.

В ту же ночь один пользователь воспользовался кодом Eminence и спустил 15 миллионов долларов. Затем тот же злоумышленник вернул около 8 миллионов долларов в DAI на смарт-контракт Yearn, контролируемый Cronje. 

Теперь, даже не прошло 72 часов после эксплойта, пострадавшие пользователи получили часть своих потерь обратно. 

Выдергивание ковра и последующее спасение-это не первое в своем роде в DeFi. И напрашивается вопрос: учится ли сообщество DeFi на своих ошибках?

Преосвященство “Хак” объяснил

Сам эксплойт, который даже не был взломом, был достаточно прост. 

Токены EMN, сгенерированные смарт-контрактом Yearn Deploy, первоначально распределялись по кривой связывания-новой схеме распределения токенов, используемой несколькими продуктами DeFi. Эти кривые связывания представляют собой смарт-контракты, которые “торгуют” токенами с конечными пользователями, распределяя один в обмен на другой.

Для Eminence пользователи будут вносить DAI в смарт-контракт и получать EMN взамен. Если EMN отправляется в смарт-контракт, он сжигается, и пользователь получает DAI взамен. 

Вы также можете обменять EMN на 5 других токенов (eAAVE, eLINK, eYFI, eSNX и eCRV, все обернутые Eminence версии популярных токенов с одинаковыми тикерами). Это означало бы сжечь депонированный ЭМН. И наоборот, если вы вносите эти токены в соответствующие контракты кривой связывания, они сжигаются, и вы получаете новоиспеченный EMN.

Чтобы воспользоваться этими контрактами, злоумышленник взял у Uniswap срочный кредит на 15 миллионов DAI и использовал его для покупки EMN. Затем они продали и сожгли половину этой ЭМН для eAAVE, управляя вверх по цене ЕМС по. Отсюда они обменяли остальную часть своего ЭМН на дай, обменяли свой eAAVE на чеканку большего количества ЭМН, а затем, наконец, обменяли этот ЭМН на дай. 

К тому времени, когда злоумышленник делал свои ходы, кто-то уже развернул торговые пары EMN на Uniswap.

Этот процесс был повторен три раза, чтобы получить сеть хакера 15 015 533 DAI. Аналогичная атака с использованием флэш-кредита была проведена против протокола bZx в феврале.

Ответ тоскуют финансов и перераспределение маркера

Удивительно, но после всех этих усилий нападавший слегка передумал: они перевели 8 миллионов долларов в DAI на контракт Yearn Finance, который Кронье быстро отправил в Yearn multi-sig. 

Горстка разработчиков, один из которых работает над Yearn, придумала способ распространения DAI среди пользователей, пострадавших от падения цены EMN в результате эксплойта. Репарации, деноминированные в DAI, теперь распределяются между пользователями, которые торгуют за EMN из контракта bonding curve и Uniswap.

“Получение [токенов DAI] было похоже на то, что нам подарили бомбу замедленного действия”, – сказал Бантег, разработчик ядра Yearn, CoinDesk. Он добавил, что команда работала быстро, чтобы распределить средства, чтобы пострадавшие пользователи не стали беспокойными.

Бантег считает, что большинство пострадавших пользователей были “в курсе”, поскольку половина реституции была заявлена в течение 19 минут после запуска контракта на распространение. Согласно данным, которыми бантег поделился с CoinDesk, до сих пор не было заявлено только $338 000 Dai.

Судя по плохому поведению нападавшего, фиаско усугублялось двумя движущими силами: доверием и жадностью. 

В своих твитах Кронье никогда не говорил, что протокол Преосвященства готов. Он даже не упомянул, для чего нужен протокол. Но одного ретвита от парня, стоящего за Yearn – этого вызывающего единорога, который в этом году подскочил в цене с 31 до более чем 43 000 долларов, – было достаточно, чтобы трейдеры набросились на токен Eminence.

Жаждущие еще одного лунного выстрела, бесстрашные пользователи Eminence начали взаимодействовать с протоколом еще до того, как Кронье дал какой-либо сигнал о том, что он готов для инвесторов. Он даже написал в Твиттере предостережения перед этим инцидентом, что любой, кто использует его протоколы, должен действовать с осторожностью.

С тех пор Кронье заявил о своих намерениях в Twitter продолжить свою работу над Eminence, добавив, что у него есть примерно 100 контрактов для тестирования. Он также предостерег непокорных от “ожидания официальных объявлений”, прежде чем использовать их.

Тем не менее, некоторые из пострадавших трейдеров, пошатываясь от своих потерь, не были готовы позволить Кронье сорваться с крючка.

“Зачем ставить незаконченный код в mainnet для тестирования?- вмешался один пользователь. – Контракт должен был быть в тестовой сети.”

Другие, такие как Том Шонесси из Delphi Digital, защищали Кронье, утверждая, что “это не [его] вина, что люди вырождаются в [его] работу до того, как она закончена.”

Уроки Дефи тяжело усвоены или едва усвоены?

Действительно, так называемые Дефи дегены имеют репутацию “обезьянничающих” в смарт-контрактах в поисках прибыли, прежде чем они будут тщательно проверены. Трейдеры внесли несколько сотен миллионов токенов в протокол yield farming protocol Yam Finance еще в августе, например, за несколько дней до того, как ошибка в его неаудированном коде привела к тому, что цена токена упала.

Совсем недавно трейдеры внесли так много токенов в тогдашний неаудированный контракт SushiSwap, что его объем превзошел Uniswap. Несколько дней спустя создатель SushiSwap сбросил свою долю разработчика токенов SUSHI за 13 миллионов долларов в ETH, только чтобы вернуть эту сумму в ETH в казну SushiSwap после приступа вины.

С этим выдающимся подвигом и краткой реституцией теперь в книгах, у торговцев DeFi есть еще одна причина быть подозрительными к непроверенным протоколам. Но с окупаемостью, несколько смягчающей их потери, возможно, этот урок может быть забыт, как только появится следующая “большая новая вещь”.

Напишите комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*