Недавний умный подвиг контракта привел к потере 1193 ETH. Инцидент вызвал вопрос о безопасности быстро развивающегося сектора DeFi .
На выходных использование уязвимости в интеллектуальном контракте заставило разработчиков приложения Fulcrum на основе Ethereum частично отключить его смарт-контракт. Недавнее вскрытие нарушения безопасности показывает, что злоумышленник использовал серию сложных сделок между несколькими приложениями для использования уязвимости. Это заставило исследователей прийти к выводу, что злоумышленник обладал «чрезвычайно глубоким знанием каждого протокола DeFi».
Жизнеспособность DeFi
Инцидент заставил некоторых усомниться в жизнеспособности сектора DeFi . Чарли Ли, основатель Litecoin, сказал, что тот факт, что так называемые децентрализованные приложения имеют ключ администратора для приостановки контрактов, представляет собой «театр децентрализации».
Разработчик Lightning Network Алекс Босворт разделяет подобное мнение:
If your “defi” project has an admin key or a coordinator, a set of oracles, a group of validators or cosigners, a default trusted keys list, even if you “have plans to phase it out”, what you are actually doing is running a financial service. In other words you actually have no d
— Alex Bosworth ☇ (@alexbosworth) February 15, 2020
Независимо от того, точны ли заявления об абсолютной децентрализации, инцидент указывает на гораздо большую и более фундаментальную проблему в отрасли. Хотя в отчете исследователей bZx говорится, что все пользовательские средства безопасны и что они внедрили патч, чтобы остановить будущих злоумышленников, использующих тот же эксплойт, такие реактивные исправления ничего не делают для предотвращения будущих уязвимостей.
В качестве финансовых приложений, подобные Fulcrum представляют огромные приманки для хакеров. Постоянный запуск и выполнение все более сложных функций, тот факт, что так много умных контрактов уже стали жертвами эксплойтов, доказывает, что они становятся привлекательной целью.
Репортер и отраслевой обозреватель Ларри Чермак ранее во вторник осветили проблему через Twitter. Он описывает текущие приложения DeFi как постоянные «многомиллионные награды, открытые 24/7 и с очень небольшими последствиями».
Чермак заключает, что создание приложения DeFi должно быть постоянной головной болью для разработчиков:
It’s DeFi exploitation season. The first exploit showed a lot of people that something like that is even possible. Now it’s go time
— Larry Cermak (@lawmaster) February 18, 2020
Сами разработчики bZx, похоже, согласны с вышеизложенным. Кайл Дж Кистнер, CVO bZx пишет:
