Binibigyan ng 'Defender' ng OpenZeppelin ang mga DeFi Team ng Armas Laban sa Mga Pag-atake ng Flash Loan

OpenZeppelin, isang Cryptocurrency software at security firm, ay naglabas lamang ng isang software suite para sa mga proyektong desentralisado sa Finance (DeFi) na lumalaban sa pag-atake ng flash loan at iba pang pagsasamantala.

Ang Defender ay isang software suite na nagbibigay sa mga team ng mga alerto kapag may nagaganap na pagsasamantala, pati na rin ang mga awtomatikong script upang tumugon sa pagsasamantalang iyon nang real time.

Mula noong nag-crop up noong nakaraang tag-araw, ang mga aplikasyon sa pagsasaka ng ani at iba pang mga DeFi Markets ay pumupuno sa Ethereum blockchain at umakit ng bilyun-bilyong kapital. Ang mga pool ng kapital na ito ay naging kapaki-pakinabang din na mga honeypot para sa cyberattacks.

Marahil ang pinakakaraniwan ay ang flash loan exploit, kung saan ang isang umaatake ay humihiram ng mga token mula sa ilang lending pool nang sabay-sabay at ginagamit ang bawat loan upang bayaran ang iba, habang ginagamit ang labis upang kunin ang halaga mula sa ibang mga Markets. Upang matiyak na mabilis na dumaan ang pag-atake, ang (mga) umaatake ay nagbabayad ng mas mataas kaysa sa average na bayarin sa transaksyon.

Mula sa Yearn hanggang Compound hanggang Cream, ang mga desentralisadong platform sa pananalapi ay sama-samang nawalan ng halos $150 milyon mula sa mga pagsasamantalang ito mula noong 2020.

Read More: Lahat ng Gusto Mong Malaman Tungkol sa DeFi 'Flash Loan' Attack

Ang Defender suite, OpenZeppelin CTO Jonathan Alexander ay nagsabi sa CoinDesk, ay nilalayong pagaanin ang mga epekto ng mga pag-atake na ito at bigyan ang mga koponan ng mga awtomatikong tool upang tumugon sa mga ito habang nangyayari ang mga ito - isang bagay na maaaring makatulong na mabawasan ang mga pagkalugi sa hinaharap.

"Kung may nakita kang isang bagay, maaari mong abisuhan ang team, ngunit maaari mo ring i-automate ang mga pagkilos. Maaari kang tumawag ng isang admin function upang i-pause ang smart contract o ilipat ang mga token mula sa ONE lugar patungo sa isa pa. Ang pagsubaybay ay mahusay na kasanayan ... ngunit ngayon ay maaari ka ring tumugon sa pamamagitan ng awtomatikong pagkilos."

Paano gumagana ang Defender?

Ang susi sa Defender na matiyak ang tamang oras ng pagtugon sa isang pagsasamantala, sinabi ni Alexander, ay ang pagsubaybay at pagpapalit ng mga koponan sa pagsasamantala at nag-aalok sa kanila ng ready-to-deploy na code upang tumugon sa pag-atake. Ang mga paunang naka-code na script na ito ay maaaring gumawa ng mga bagay tulad ng pag-pause o pag-upgrade ng isang matalinong kontrata, o maaari silang magsagawa ng mas mababang uri, quotidien automated na gawain, tulad ng mga relay ng transaksyon.

Dalawa sa mas mahahalagang feature, ang Defender Sentinel at Defender Admin, ay maaaring makatulong na maglagay ng stopper sa mga pag-atake ng flash loan na nanloloko ng daan-daang milyon sa mga token noong nakaraang taon.

Sa ONE $11 milyon na pagsasamantala, Minamanipula ng mga umaatake ng Yearn ang halaga ng palitan ng DAI sa Yearn vaults sa pamamagitan ng pagkuha ng mga flash loans sa Aave para sa USDT at USDC; ang mga ito ay idineposito sa mga pool ng Curve Finance upang i-fudge ang halaga ng palitan na kinasasangkutan ng USDT, USDC at DAI, na nakaapekto sa presyo ng DAI sa Yearn vault na nagdudulot ng mga likidasyon at pagkalugi.

Tutukuyin ng Defender ang mga pag-atake na ito habang nangyayari ang mga ito sa pamamagitan ng pag-scan ng mga bloke para sa mataas na bayarin sa transaksyon. Kung may iregularidad, makakatanggap ang team ng notification (sa Slack, halimbawa) at maaari silang pumili mula sa ONE sa mga automated na script ng Defender para tumugon sa pag-atake. Maaaring ihinto ng ONE sa mga ito ang lahat ng operasyon sa chain, halimbawa, o mga address sa blacklist.

Sa ngayon, T mapipigilan ng Defender ang isang pagsasamantala bago ito mangyari, ngunit maaari itong magamit upang ihinto ito sa mga landas nito bago ang mapagsamantala ay umalis na may kasamang grupo ng mga barya. Sa hinaharap, inaasahan ng OpenZeppelin na maglabas ng isang bersyon na maaaring sumubaybay sa mga nakakahamak na transaksyon sa mempool ng Ethereum (isang virtual holding tank para sa mga transaksyon), kahit na ito ay magtatagal.

"Kami ay sinusubaybayan ang bawat bloke. Sa sandaling ang isang bloke ay mina, ang Sentinels ay tatakbo at magpapaputok ng mga autotask, kaya't ang pinag-uusapan natin ay tungkol sa mga segundo ng oras ng reaksyon. Iyon pa rin ay pagkatapos ng katotohanan," sabi ni Alexander, "ngunit ang QUICK na reaksyon sa mga nakaraang pagsasamantala ay maaaring makatipid ng milyun-milyong dolyar."

Samantalang bago umasa ang koordinasyon sa pagtugon sa mga pag-atakeng ito sa social media at mga platform ng mensahe, ang mga pag-aayos ay tumagal kahit saan mula sa minuto hanggang oras. Kung gumagana ang Defender tulad ng inilarawan, ang mga minuto at segundong gilid na ibinibigay nito sa mga koponan sa karera laban sa blockchain clock ay maaaring magdagdag ng hanggang sa milyon-milyong mga na-save na pondo.

Sa isang demo na ipinakita sa CoinDesk gamit ang isang makasaysayang estado ng Ethereum blockchain, ang OpenZeppelin ay nag-replay ng isang lumang pagsasamantala ng DeFi upang ipakita ang reaksyon at tugon ng Defender. Sinabi ni Alexander na maaaring i-replay ng anumang koponan ang kanilang mga lumang pagsasamantala gamit ang software upang makita kung paano maaaring maging iba ang mga bagay.

Isang potensyal na 'game changer' para sa flash loan mitigation

Nakikipagtulungan na ang OpenZeppelin sa mga manlalaro tulad ng Yearn, DYDX, Synthetic at iba pa para gumana ang kanilang solusyon sa ligaw.

"Lalo kaming nasasabik sa pagpapatupad ng automation dahil alam namin na ang pinakamahuhusay na kagawian sa seguridad ay binuo. Higit sa lahat, tinulungan kami ng Defender na harapin ang mga hindi kilalang hindi alam ng seguridad upang KEEP kaming bumuo," sabi ni Aparna Krishnan, co-founder ng Opyn, isang DeFi options platform, na tinatawag ang bagong tool na "game changer."

Sinabi ni Brendan Asselstine, ang CTO ng prize pool DeFi protocol PoolTogether, na ginagamit ng kanyang platform ang Defender "upang i-automate ang ilang aspeto ng aming protocol" at "umaasa dito bilang isang mahalagang bahagi ng aming imprastraktura."

Ibigay ang rate ng pag-atake ng flash loan sa DeFi ecosystem, ngayong inilunsad na ang Defender, maaaring hindi magtatagal bago natin makita ang mga kakayahan nito sa pagkilos.