‘Người bảo vệ’ của OpenZeppelin cung cấp cho đội DeFi một vũ khí để chống lại các cuộc tấn công cho vay nhanh

0
639

Các cuộc tấn công cho vay nhanh đã kiếm được gần 150 triệu đô la từ các dự án DeFi kể từ năm 2020.

OpenZeppelin , một công ty bảo mật và phần mềm tiền điện tử, vừa phát hành một bộ phần mềm dành cho các dự án tài chính phi tập trung (DeFi) nhằm chống lại các cuộc tấn công cho vay nhanh và các hình thức khai thác khác.

Defender là một bộ phần mềm cung cấp cho các nhóm các cảnh báo khi một hoạt động khai thác đang diễn ra, cũng như các tập lệnh tự động để phản hồi lại việc khai thác đó trong thời gian thực. 

Kể từ khi thu hoạch vào mùa hè năm ngoái, các ứng dụng canh tác năng suất và các thị trường DeFi khác đã phổ biến chuỗi khối Ethereum và thu hút hàng tỷ USD vốn. Những nguồn vốn này cũng trở thành những quỹ mật béo bở cho các cuộc tấn công mạng.

Có lẽ phổ biến nhất là khai thác khoản vay nhanh, trong đó kẻ tấn công vay các mã thông báo từ nhiều nhóm cho vay cùng một lúc và sử dụng từng khoản vay để trả cho những khoản vay khác, đồng thời sử dụng số tiền thừa để chiết xuất giá trị từ các thị trường khác. Để đảm bảo cuộc tấn công diễn ra nhanh chóng, (những) kẻ tấn công phải trả một khoản phí giao dịch cao hơn nhiều so với mức trung bình.

Từ Yearn đến Compound đến Cream, các nền tảng tài chính phi tập trung đã mất tổng cộng gần 150 triệu đô la từ các hoạt động khai thác này kể từ năm 2020.

Bộ bảo vệ, CTO của OpenZeppelin Jonathan Alexander nói với CoinDesk, nhằm giảm thiểu tác động của các cuộc tấn công này và cung cấp cho các nhóm các công cụ tự động để phản hồi chúng khi chúng đang xảy ra – điều có thể giúp giảm tổn thất trong tương lai.

“Nếu bạn phát hiện điều gì đó, bạn có thể thông báo cho nhóm, nhưng bạn cũng có thể tự động hóa các hành động. Bạn có thể gọi một chức năng quản trị để tạm dừng hợp đồng thông minh hoặc di chuyển mã thông báo từ nơi này sang nơi khác. Giám sát là một phương pháp tuyệt vời… nhưng giờ đây bạn cũng có thể phản hồi bằng hành động tự động. ”

Defender hoạt động như thế nào?

Alexander cho biết, chìa khóa để Defender đảm bảo thời gian phản hồi thích hợp cho một vụ khai thác là nó giám sát và thay đổi các nhóm khai thác và cung cấp cho họ mã sẵn sàng triển khai để phản ứng lại cuộc tấn công. Các tập lệnh được mã hóa trước này có thể thực hiện những việc như tạm dừng hoặc nâng cấp hợp đồng thông minh hoặc chúng có thể thực hiện các tác vụ tự động lâu hơn, quoprisen hơn, như chuyển tiếp giao dịch. 

Hai trong số các tính năng quan trọng hơn, Defender Sentinel và Defender Admin, có thể giúp ngăn chặn các cuộc tấn công cho vay nhanh đã lừa đảo hàng trăm triệu token trong năm qua.

Trong một lần khai thác trị giá 11 triệu đô la , những kẻ tấn công của Yearn đã thao túng tỷ giá hối đoái của DAI (DAI, -0,02%) trong các hầm của Yearn bằng cách vay tiền nhanh trên Aave cho USDT (USDT, -0,09%) và USDC; sau đó chúng được gửi vào các nhóm Curve Finance để làm sai lệch tỷ giá hối đoái liên quan đến USDT, USDC (USDC, -0,04%) và DAI, điều này đã ảnh hưởng đến giá DAI trong các kho tiền của Yearn, gây ra các khoản thanh lý và thua lỗ.

Defender sẽ xác định chính xác các cuộc tấn công này khi chúng đang xảy ra bằng cách quét các khối để tìm phí giao dịch cao. Nếu có bất thường, nhóm sẽ nhận được thông báo (ví dụ: trên Slack) và họ có thể chọn từ một trong các tập lệnh tự động của Defender để phản hồi cuộc tấn công. Ví dụ: một trong số này có thể tạm dừng tất cả các hoạt động trên chuỗi hoặc các địa chỉ trong danh sách đen.

Defender Sentinel sẽ cảnh báo một nhóm về bất kỳ hoạt động giao dịch đáng ngờ nào. 

Hiện tại, Defender không thể dừng một vụ khai thác trước khi nó xảy ra, nhưng nó có thể được sử dụng để ngăn chặn nó theo dõi của nó trước khi kẻ khai thác cất cánh với một loạt tiền. Trong tương lai, OpenZeppelin hy vọng sẽ phát hành một phiên bản có thể theo dõi các giao dịch độc hại trong mempool của Ethereum (một bể chứa ảo cho các giao dịch), mặc dù điều này sẽ mất thời gian.

“Chúng tôi đang giám sát từng khối một. Ngay khi một khối được khai thác, Sentinels sẽ chạy và khởi động các nhiệm vụ tự động, vì vậy chúng ta đang nói về thời gian phản ứng tính theo giây. Điều đó vẫn còn sau thực tế, ”Alexander nói,“ nhưng phản ứng nhanh trong các lần khai thác trước đây có thể đã tiết kiệm hàng triệu đô la. ”

Trong khi trước khi phối hợp ứng phó với các cuộc tấn công này đã dựa vào các nền tảng truyền thông xã hội và tin nhắn, các bản sửa lỗi mất từ ​​vài phút đến hàng giờ. Nếu Defender hoạt động như mô tả, số phút và giây mà nó mang lại cho các đội trong cuộc đua với đồng hồ blockchain có thể thu về hàng triệu đồng tiền tiết kiệm được.

Trong một bản trình diễn được hiển thị cho CoinDesk bằng cách sử dụng trạng thái lịch sử của chuỗi khối Ethereum, OpenZeppelin đã phát lại một khai thác DeFi cũ để chứng minh phản ứng và phản ứng của Defender. Alexander nói rằng bất kỳ nhóm nào cũng có thể phát lại các chiến tích cũ của họ bằng phần mềm để xem mọi thứ có thể diễn ra khác đi như thế nào.

Một ‘người thay đổi cuộc chơi’ tiềm năng để giảm thiểu khoản vay nhanh

OpenZeppelin đã làm việc với những người chơi như Yearn, dYdX, Synthetic và những người khác để giải pháp của họ hoạt động trong môi trường hoang dã.

Defender Autotask có thể tự động hóa các phản hồi đối với các hoạt động khai thác hoặc các quy trình hàng ngày. 

Aparna Krishnan, đồng sáng lập Opyn, cho biết: “Chúng tôi đặc biệt vui mừng về việc có thể triển khai tự động hóa khi biết rằng các phương pháp bảo mật tốt nhất đã được tích hợp sẵn. Hơn hết, Defender đã giúp chúng tôi giải quyết các vấn đề chưa được biết đến về bảo mật để chúng tôi có thể tiếp tục xây dựng” , một nền tảng tùy chọn DeFi, gọi công cụ mới là “người thay đổi trò chơi”.

Brendan Asselstine, CTO của quỹ giải thưởng giao thức DeFi PoolTogether, cho biết nền tảng của anh ấy sử dụng Defender “để tự động hóa một số khía cạnh của giao thức của chúng tôi” và “dựa vào nó như một phần quan trọng trong cơ sở hạ tầng của chúng tôi.”

Đưa ra tỷ lệ các cuộc tấn công cho vay nhanh trên hệ sinh thái DeFi, bây giờ khi Defender được khởi chạy, có thể không lâu nữa chúng ta sẽ thấy khả năng của nó hoạt động.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây