Curve Finance と Web3 が攻撃を受けやすいことから得た教訓

カーブファイナンス 最近の臨死体験 (そして回避されたその伝播は) Web3 のバックミラーではぼやけて見えるかもしれませんが、実際には業界で起こり続けていることです。 それは初めてではない 分散型ファイナンス プロトコル、さらに言えば分散型アプリは、自身のコード内では完全に合法な攻撃の影響を受けています。 さらに言えば、オンチェーンのリスク管理が存在していれば危機は防げたはずだ。

これらはすべて、Web3 におけるより広範な問題を示しています。 それが問題です 表現力とリソースが限られている 開発環境に存在するものと、それがセキュリティ全体にどのような影響を与えるか。

ハッキングか悪用か？

Curve Finance の攻撃者が Curve Finance から 61.7 万米ドルの資産を回収できたとき スマート契約、 たくさんの マスコミ そしてコメンテーターはこのイベントを「ハック」 しかし、これはハッキングではなく、悪用でした。 ここの違いが重要です。 

この文脈では、攻撃者が何らかの方法で既存のセキュリティ対策を回避または破っていれば、ハッキングが行われたことになります。 しかし、Curve への攻撃は悪用でした。 プロトコルの Vyper コードが許可していることに関して、異常なことは何も起こりませんでした。 略奪者は単にプロトコルの設計の仕組みを利用しただけです。

これの責任は誰にあるのでしょうか？ 誰も。 Curve の Vyper コードは、Web3 アプリケーションで使用されているほとんどの (Solidity) コードと同様、比較的単純なトランザクション ロジックを超える複雑さを表現する能力が大幅に制限されています。 

このため、この攻撃やその他の攻撃を防ぐセキュリティ対策を設計するのは誰にとっても困難になります。 さらに憂慮すべきは、DeFi の広大で構成可能な流動性環境全体への拡散を防ぐためのツールを適切に設計することが誰にとっても困難になることです。

オンチェーンのリスク分析

しかし、この攻撃とDeFi全体への拡散を防ぐためにカーブができることが何もなかったというわけではない。 ソリューションの簡単な例は、オンチェーンのリスク分析です。 

解決できる問題のあるパターンの一般化バージョンは、次のような仮説的な状況に要約できます。

• 悪役のボブは、ある方法で 5 万ドル相当の非常に不安定な $RISKY トークンを購入します。 フラッシュローン.
• $RISKY トークンの価値は、購入後にボブによって効果的に汲み上げられます。 
• ボブは、$RISKY を裏付けとした Naive Finance で 100 億ドルの融資を実行します。
• Naive Finance は $RISKY の価格をチェックし、Bob がその金額に「適している」ことを確認します。
• ボブは走ります。
• Naive Finance が $RISKY を清算すると、その価値はわずか 5 万ドルになります。

(この一般的なパターンの別の例は、 オイラーハック XNUMX月から）

従来、この問題は、資産がどの程度保証できるかを判断するリスク分析ソリューションによって解決されてきました。 それらがオンチェーンに存在する場合、Naive Finance はローンを承認する前に、トークンの過去の価格に基づいて統計的推定をチェックできます。 プロトコルはポンプを見破って、ボブへの100億ドルの受け取りを拒否したでしょう。

DeFiにはこの種のオンチェーンリスク分析と管理が欠けています。

Curve Finance の話に戻ると、Aave と Frax が担保トークンの流通供給量の一定の割合を通過する際にローン承認に自動化されたオンチェーン制限を設けていれば、スプレッドは防げたはずだ。 これは誰にとってもより安全でストレスの少ない状況だったでしょう。

表現力とリソースが限られている

ここでの本当の問題は、現在の Web3 エコシステムがこのオンチェーン リスク分析ソリューションのようなものをサポートできないことです。 これらは、イーサリアム仮想マシンなどの仮想マシンで利用できるライブラリやフレームワークの種類によって制限されます。 また、自由に使えるリソースも限られています。

このようなリスク分析および管理ソリューションのようなものを開発するには、分散型アプリは、次の機能を備えたコーディング ライブラリを利用する必要があります。 少なくとも 対数などの基本的な数学的概念。 

Web3 では、dApps にはアクセスできないため、これは当てはまりません。 NumPyたとえば、Python の数学モジュールです。 典型的なツールボックスは存在せず、開発者は代わりに車輪を再発明する必要があります。

次に、別の問題が発生します。 たとえこれらのライブラリがあったとしても、コーディングするにはコストがかかりすぎます。 文字通り高価です。 イーサリアム仮想マシンは、すべての計算に料金が発生するように設計されています。 

これには、無限ループの防止などの正当な理由がありますが、不当なコストをかけずに計算的に拡張する必要がある dApp のリソース制限も生じます。 リスク管理ソリューションの運用コストが、節約できる資金よりも高額になることは簡単にわかります。

適切な問題に焦点を当てる

局地的なレベルでは、オンチェーンのリスク管理があれば、カーブ・ファイナンスの行き詰まりの拡大を防ぐことができたはずです。 一般的なレベルでは、このクラスの攻撃全体は、Web3 の表現力とリソースを強化すれば防ぐことができます。

これらはブロックチェーンのスケーラビリティの 3 つの側面ですが、dApp により多くの共有ブロック スペースを提供するだけではないため、長い間見落とされてきました。 実際には、Web2 の開発環境をエミュレートする WebXNUMX での開発環境の作成が含まれます。 彼らは約 計算のスケーラビリティ および プログラマビリティオンチェーンで利用可能なデータ量を拡張するだけではありません。

おそらく、Curve、Aave、または Frax のプロトコル開発者が、より優れたツールボックスとより多くのリソースを頼りにする能力を持っていれば、これらおよび将来の悪用は完全に回避できるでしょう。 おそらく、オンチェーンのリスク管理から始めることができるでしょう。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://forkast.news/curve-finance-web3s-vulnerability-to-attacks/