«Defender» от OpenZeppelin дает командам DeFi оружие против атак с использованием мгновенных займов

OpenZeppelin, компания, занимающаяся разработкой программного обеспечения и безопасности Криптовалюта , только что выпустила программный пакет для проектов децентрализованного Финансы (DeFi), борющихся с атаки на срочные кредитыи другие подвиги.

Defender — это программный пакет, который оповещает команды об обнаружении уязвимости, а также предоставляет автоматизированные сценарии для реагирования на нее в режиме реального времени.

С момента своего появления прошлым летом, приложения для выращивания урожая и другие Рынки DeFi заполонили блокчейн Ethereum и привлекли миллиарды капитала. Эти пулы капитала также стали прибыльными приманками для кибератак.

Возможно, наиболее распространенным является эксплойт с мгновенным кредитом, когда злоумышленник занимает токены из нескольких кредитных пулов одновременно и использует каждый кредит для погашения других, при этом используя излишки для извлечения ценности из других Рынки. Чтобы обеспечить быстрое проведение атаки, злоумышленник(и) платят комиссию за транзакцию, которая намного выше средней.

От Yearn до Compound и Cream — децентрализованные финансовые платформы в общей сложности потеряли около 150 миллионов долларов из-за этих атак с 2020 года.

Читать дальше: Все, что вы когда-либо хотели знать об атаке DeFi «Flash Loan»

Технический директор OpenZeppelin Джонатан Александер рассказал CoinDesk, что пакет Defender призван смягчить последствия этих атак и предоставить командам автоматизированные инструменты для реагирования на них по мере их возникновения — что может помочь сократить потери в будущем.

«Если вы что-то обнаружите, вы можете уведомить команду, но вы также можете автоматизировать действия. Вы можете вызвать функцию администратора, чтобы приостановить смарт-контракт или переместить токены из ONE места в другое. Мониторинг — это отличная практика... но теперь вы также можете реагировать с помощью автоматизированных действий».

Как работает Защитник?

Александр сказал, что ключ к тому, чтобы Defender обеспечивал надлежащее время реагирования на эксплойт, заключается в том, что он отслеживает и изменяет команды для эксплойтов и предлагает им готовый к развертыванию код для ответа на атаку. Эти предварительно закодированные скрипты могут делать такие вещи, как приостановка или обновление смарт-контракта, или они могут выполнять более черновые, повседневные автоматизированные задачи, такие как транзакционные реле.

Две наиболее важные функции, Defender Sentinel и Defender Admin, могут помочь остановить атаки с мгновенными займами, в результате которых за последний год были похищены сотни миллионов токенов.

В ONE подвиге стоимостью 11 миллионов долларов, Годовые злоумышленники манипулировали обменным курсомDAI в хранилищах Yearn, взяв мгновенные кредиты на Aave для USDT и USDC; затем они были помещены в пулы Curve Финансы для фальсификации обменного курса с участием USDT, USDC и DAI, что повлияло на цену DAI в хранилищах Yearn, вызвав ликвидации и убытки.

Defender будет определять эти атаки по мере их возникновения, сканируя блоки на предмет высоких комиссий за транзакции. Если есть нарушение, команда получает уведомление (например, в Slack) и может выбрать ONE из автоматизированных скриптов Defender для реагирования на атаку. ONE из них может, например, остановить все операции в цепочке или внести адреса в черный список.

Прямо сейчас Defender T может остановить эксплойт до того, как он произойдет, но его можно использовать, чтобы остановить его на пути, прежде чем эксплойт скроется с кучей монет. В будущем OpenZeppelin надеется выпустить версию, которая сможет отслеживать вредоносные транзакции в мемпуле Ethereum (виртуальном хранилище для транзакций), хотя это займет время.

«Мы отслеживаем блок за блоком. Как только блок будет добыт, Sentinels запустится и запустит автозадачи, так что мы говорим о секундах времени реакции. Это все еще постфактум», — сказал Александр, «но QUICK реакция в прошлых эксплойтах могла бы сэкономить миллионы долларов».

Если раньше координация реагирования на эти атаки опиралась на социальные сети и платформы обмена сообщениями, то исправления занимали от нескольких минут до нескольких часов. Если Defender работает так, как описано, то минуты и секунды преимущества, которые он дает командам в гонке с часами блокчейна, могут составить миллионы сэкономленных средств.

В демонстрации, показанной CoinDesk с использованием исторического состояния блокчейна Ethereum , OpenZeppelin воспроизвел старый эксплойт DeFi, чтобы продемонстрировать реакцию и ответ Defender. Александр сказал, что любая команда может воспроизвести свои старые эксплойты, используя программное обеспечение, чтобы увидеть, как все могло пойти по-другому.

Потенциальный «фактор, меняющий правила игры» для смягчения последствий кредитования в режиме «мгновенного кредитования»

OpenZeppelin уже работает с такими игроками, как Yearn, DYDX, Synthetic и другими, чтобы заставить их решение работать в реальных условиях.

«Мы особенно рады возможности внедрить автоматизацию, зная, что в нее встроены лучшие практики безопасности. Прежде всего, Defender помог нам справиться с неизвестными неизвестными аспектами безопасности, чтобы мы могли KEEP работу», — сказала Апарна Кришнан, соучредитель Opyn, платформы опционов DeFi, назвав новый инструмент «переломным моментом».

Брендан Ассельстайн, технический директор протокола призового фонда DeFi PoolTogether, сказал, что его платформа использует Defender «для автоматизации нескольких аспектов нашего протокола» и «полагается на него как на ключевую часть нашей инфраструктуры».

Учитывая частоту атак с использованием мгновенных займов на экосистему DeFi, теперь, после запуска Defender, возможно, пройдет совсем немного времени, прежде чем мы увидим его возможности в действии.