Borç Verme Protokolleri için Likidite Neden Önemlidir?
CertiK Kurucu Ortağı Profesör Ronghui Gu tarafından
18 Ekim 2022’de, Celo blok zincirinde çalışan velayet dışı bir likidite protokolü olan Moola Market, yaklaşık 8 milyon dolar zarar gördü. Olay, bir saldırganın platformun yerel $MOO belirtecinin fiyatını manipüle etmesi sonucu meydana geldi ve bu da onlara platformdan ek belirteçler ödünç almak için $MOO teminatlarının şişirilmiş fiyatını kullanmalarına izin verdi.
Saldırı akışı, önceki hafta meydana gelen Mango Markets olayıyla neredeyse aynıydı; bu olayda bir saldırgan ayrıca borç verme platformunun likit olmayan yerel jetonunu da ödünç aldı, fiyatı daha yüksek manipüle etti ve ardından teminatlarının bu yeni şişirilmiş değerini ödünç almak için kullandı. protokolün varlıklarının çok büyük miktarı.
Her iki durumda da, saldırgan elde ettikleri fonların çoğunu iade etti. Moola Markets, 500.000$ ödül ödemesi karşılığında fonların %93.1’ini iade eden saldırganla pazarlık yaptı. Bu, Moola likidite sağlayıcılarının olabileceği kadar olumsuz etkilenmesini engellese de, DeFi platformları, olaydan sonra beyaz şapka korsanı rolünü üstlenmeye karar veren saldırganların geriye dönük ödüllerine güvenemez.
Bir kredi platformunda hangi varlıkların teminat olarak kullanılabileceğine karar verilirken, bir tokenin piyasa likiditesi birincil değerlendirme olmalıdır. Likit olmayan belirteçler, platformun amaçlanan işleyişini bozacak şekilde manipüle edilme konusunda çok daha büyük bir risk taşır. Moola olayı durumunda, saldırganın $MOO fiyatını 0,018 $’dan 3,58 $’a yükseltmek için yalnızca yaklaşık 133 bin $ değerinde CELO’ya ihtiyacı vardı ve bu da yaklaşık %20.000’lik bir kazancı temsil ediyordu.
Daha derin, daha likit piyasalarda böyle bir saldırının maliyeti önemli ölçüde artar. Mavi çipli varlıkların fiyatını aynı büyüklükte manipüle etmek astronomik miktarda para gerektirir.
Bu, protokolün tasarımındaki bir kusurdu. Bu, platformun akıllı sözleşmesindeki bir hatadan değil, hangi varlıkların teminat olarak kullanılacağına karar verirken öngörü eksikliğinden kaynaklanıyordu. Moola Piyasası manipülasyonunun failinin kim olduğu belirsizliğini koruyor olsa da, muhtemelen eylemlerini protokole bir saldırı olarak değil, daha ziyade “son derece karlı bir ticaret stratejisi” olarak savunacaklardı. Mango Markets istismarcısı.
Ödünç verme platformları, belirteçlerinin kullanımını teşvik etmek ister ve bunun teminat varlığı olarak kullanılmasına izin vermek, bunu yapmanın bir yoludur. Bununla birlikte, likidite bu tür saldırıları önlemek için yetersizse, kullanıcılarını potansiyel olarak yıkıcı kayıplara maruz bırakan bozuk bir platformun belirtecine herhangi bir talep olması muhtemel olmadığından, bu kısa vadeli bir strateji olur.
Teminat varlıklarının dikkatli seçimine ek olarak, DeFi platformları, protokollerini ve kullanıcılarını korumak için emrinde bir dizi araca sahiptir. Şüpheli etkinlik için blok zincirini sürekli olarak tarayan Skynet gibi zincir üstü izleme hizmetleri, bir saldırı gerçekleştirilmeden dakikalar önce alarm verebilir.
Dikkatli tasarım seçimleri, dağıtım öncesi denetim ve dağıtım sonrası izleme, bir protokolün güvenlik düzeyini mümkün olan en yüksek standarda yükseltmek için bir araya gelebilir. Güvenliğe anlamlı bir bağlılık sadece yapılacak doğru şey değil, aynı zamanda iş açısından da akıllıcadır. Güvenliği ciddiye alan DeFi protokolleri, potansiyel kullanıcılara uzun vadede var olmayı amaçladıklarını gösterir; bu, bir platformun gelişmesini sağlayan likiditeyi ve günlük kullanımı çekmek söz konusu olduğunda çok önemlidir.
DeFi’nin şeffaflığı, en güçlü yönlerinden biridir. Bu, zincir üstü güvenlik olaylarının yalnızca açıktan yararlanan bir platformun arkasındaki ekip tarafından değil, aynı zamanda benzer güvenlik açıklarını paylaşabilecek diğer platformların geliştiricileri tarafından da hızlı bir şekilde teşhis edilip ele alınabileceği anlamına gelir. Ancak bu dersler her zaman olması gerektiği kadar çabuk öğrenilmez, bu da DeFi’nin şeffaflığının en büyük yükümlülüklerinden biri haline gelmesine yol açar. Daha önce başarılı olan bir açıktan yararlanmanın tam saldırı akışı kalıcı olarak zincire yazıldığında taklit saldırıları gerçekleştirmek önemsizdir.
Moola Markets’in sadece bir hafta önce Mango Markets ile aynı kaderi paylaşmış olması, bu bilmecenin bir göstergesidir. Şeffaflığı kritik bir zayıflık yerine güçlü bir güç haline getirmek için, DeFi ve Web3 projelerinin güvenlik açıklarını ele almak ve riskleri ortaya çıkar çıkmaz azaltmak için hızla hareket etmesi gerekiyor. Bir proje dağıtıldıktan sonra güvenlik sona ermez. Tasarımdan dağıtıma ve ötesine kadar sürecin tüm adımlarına entegre edilmesi gerekir.
yazar hakkında
Profesör Gu, Columbia Üniversitesi’nde Bilgisayar Bilimleri alanında Tang Ailesi Yardımcı Doçentidir. Doktora derecesine sahiptir. Yale Üniversitesi’nden Bilgisayar Bilimleri ve Tsinghua Üniversitesi’nden lisans derecesi. CertiKOS ve SeKVM’nin birincil tasarımcısı ve geliştiricisidir. Gu, bir SOSP En İyi Bildiri Ödülü, bir CACM Araştırma Vurgusu ve Yale Seçkin Tez Ödülü aldı. Prof. Gu Twitter’da @guronghuieric’te ve CertiK’in şirket web sitesi http://certik.com/