«Захисник» OpenZeppelin дає командам DeFi зброю проти атак флеш-позик

OpenZeppelin, фірма з програмного забезпечення та безпеки Криптовалюта , щойно випустила пакет програмного забезпечення для проектів децентралізованого Фінанси (DeFi), що борються з атаки флеш позик та інші подвиги.

Defender — це програмний пакет, який надає командам сповіщення про виявлення експлойту, а також автоматизовані сценарії для реагування на цей експлойт у режимі реального часу.

З моменту появи влітку минулого року додатки yield farming та інші Ринки DeFi заповнили блокчейн Ethereum і залучили мільярди капіталу. Ці фонди капіталу також стали прибутковою приманкою для кібератак.

Мабуть, найпоширенішим є експлойт швидкої позики, коли зловмисник позичає токени з кількох кредитних пулів одночасно та використовує кожну позику для погашення інших, весь час використовуючи надлишок для отримання вартості з інших Ринки. Щоб гарантувати швидке проходження атаки, зловмисники сплачують комісію за транзакцію, яка значно перевищує середню.

Від Yearn до Compound і Cream, децентралізовані фінансові платформи разом втратили майже 150 мільйонів доларів від цих експлойтів з 2020 року.

Читайте також: Усе, що ви коли-небудь хотіли знати про атаку DeFi «Flash Loan».

Набір Defender, як розповів CoinDesk технічний директор OpenZeppelin Джонатан Александер, призначений для пом’якшення наслідків цих атак і надання командам автоматизованих інструментів для реагування на них, коли вони відбуваються – те, що може допомогти зменшити втрати в майбутньому.

«Якщо ви щось виявите, ви можете повідомити команду, але ви також можете автоматизувати дії. Ви можете викликати функцію адміністратора, щоб призупинити смарт-контракт або перемістити токени з ONE місця в інше. Моніторинг — чудова практика... але тепер ви також можете відповісти автоматизованою дією».

Як працює Defender?

За словами Олександра, ключем до того, як Defender забезпечує належний час реакції на експлойт, є те, що він відстежує та змінює команди на експлойти та пропонує їм готовий до розгортання код для відповіді на атаку. Ці попередньо закодовані сценарії можуть робити такі дії, як призупинення чи оновлення смарт-контракту, або вони можуть виконувати більш простенькі, повсякденні автоматизовані завдання, як-от реле транзакцій.

Дві важливіші функції, Defender Sentinel і Defender Admin, можуть допомогти зупинити атаки на флеш-кредити, які минулого року призвели до шахрайства на сотні мільйонів токенів.

За ONE експлойт на 11 мільйонів доларів, Рік зловмисники маніпулювали курсом валют DAI у сховищах Yearn, взявши швидкі позики на Aave для USDT і USDC; потім їх було внесено до пулів Curve Фінанси , щоб змінити обмінний курс за участю USDT, USDC і DAI, що вплинуло на ціну DAI у сховищах Yearn, спричинивши ліквідацію та збитки.

Defender міг би точно визначити ці атаки, оскільки вони відбуваються, скануючи блоки на предмет високих комісій за транзакції. Якщо є порушення, команда отримує сповіщення (наприклад, на Slack) і може вибрати ONE із автоматизованих сценаріїв Defender, щоб відповісти на атаку. ONE із них може призупинити всі операції в ланцюжку, наприклад, або занести адреси в чорний список.

Наразі Defender T може зупинити експлойт, поки він не станеться, але його можна використати, щоб зупинити його на шляху до того, як експлойтер вилетить із купою монет. У майбутньому OpenZeppelin сподівається випустити версію, яка зможе відстежувати зловмисні транзакції в mempool Ethereum (віртуальний резервуар для зберігання транзакцій), хоча це займе час.

«Ми ведемо моніторинг блок за блоком. Як тільки блок видобувається, Sentinels запускаються та запускають автоматичні завдання, тому ми говоримо про секунди часу реакції. Це все ще постфактум, — сказав Олександр, — але QUICK реакція в минулих експлойтах могла б заощадити мільйони доларів».

Тоді як раніше координація реагування на ці атаки покладалася на соціальні мережі та платформи повідомлень, виправлення займали від хвилин до годин. Якщо Defender працюватиме, як описано, перевага в хвилинах і секундах, яку він дає командам у змаганні з годинником блокчейну, може додати мільйони заощаджених коштів.

У демонстрації, показаній CoinDesk з використанням історичного стану блокчейну Ethereum , OpenZeppelin відтворив старий експлойт DeFi, щоб продемонструвати реакцію та відповідь Defender. Олександр сказав, що будь-яка команда може відтворити свої старі експлойти за допомогою програмного забезпечення, щоб побачити, як все могло піти інакше.

Потенційний «змінник гри» для пом’якшення термінових кредитів

OpenZeppelin вже співпрацює з такими гравцями, як Yearn, DYDX, Synthetic та іншими, щоб їхнє рішення працювало в дикій природі.

«Ми особливо раді можливості запровадити автоматизацію, знаючи, що передові методи безпеки вбудовані. Перш за все, Defender допоміг нам боротися з невідомо-невідомо безпекою, щоб ми могли KEEP будувати», — сказав Апарна Крішнан, співзасновник Opyn, платформи опцій DeFi, назвавши новий інструмент «картинкою».

Брендан Асселстайн, технічний директор протоколу призового фонду DeFi PoolTogether, сказав, що його платформа використовує Defender «для автоматизації кількох аспектів нашого протоколу» і «покладається на нього як на ключову частину нашої інфраструктури».

Укажіть швидкість атак флеш-позики на екосистему DeFi, тепер, коли Defender запущено, можливо, пройде незабаром, перш ніж ми побачимо його можливості в дії.