Un truco para derribar todo un mercado, del 10 al 17 de febrero
Finance Redefined es el boletín informativo centrado en DeFi de Cointelegraph, que se envía a los suscriptores todos los miércoles.
El hack de Alpha Homora y Cream Finance dejó una huella gigantesca en el espacio DeFi esta semana.
Es el mayor hackeo en la historia de DeFi con $ 37 millones en fondos robados. También es uno de los más complejos, aparentemente explotando varias vulnerabilidades honestas hacia Dios en Alpha Homora. Unos pocos cheques de entrada faltantes en condiciones muy especializadas permitieron al hacker abusar del privilegio de Alpha Homora de pedir prestada una cantidad ilimitada de fondos del Iron Bank de Cream Finance. Por supuesto, los préstamos flash estuvieron involucrados, pero a diferencia de algunos hacks anteriores como Harvest Finance, no parece haber sido una hazaña puramente económica.
La noticia del ataque tuvo un impacto muy negativo en los precios de todos los protocolos involucrados en el ataque, incluido Aave por alguna razón. Mirando de manera más general a DeFi Perp en FTX, hay un claro pico el 13 de febrero cuando ocurrió el hack.
Tal vez parte de eso es solo una acción normal del mercado, pero en general, parece que la piratería solo ha terminado la temporada de DeFi, por ahora.
Los oyentes sienten el calor
Como cualquier protocolo que alcanza hoy cualquier tipo de adopción masiva, Alpha Homora ha sido auditado por Quantstamp y PeckShield, ambas firmas calificadas y respetables.
Aún así, los detalles del hackeo han llevado a algunos a sospechar que fue un trabajo interno, posiblemente por alguien de esas firmas de auditoría. Desarrollador senior Yearn.finance Banteg mencionado cómo los detalles del hackeo eran tan oscuros que era extremadamente improbable que alguien lo hubiera descubierto con solo mirar los contratos. En particular, el grupo atacado por el pirata informático fue inesperado y no se usó, lo que permitió que el pirateo ocurriera en primer lugar.
Si bien no ha habido acusaciones públicas, el incidente provocó otra discusión sobre por qué los auditores no detectaron el error, si se les solicitó adecuadamente y cómo se puede mitigar esta situación.
La anatomía de un truco complejo
Como ex cazarrecompensas de errores, realmente creo que el ecosistema de auditoría está tan "impulsado por incentivos" como puede serlo. Las empresas de auditoría ponen en riesgo su reputación cada vez que un error importante como este se cuela en su red. Bastante rápido y nadie volverá a confiar en esta empresa. Los oyentes tienen toda la motivación para encontrar lo que puedan, pero a veces, de manera realista, no pueden.
Una auditoría es un contrato por tiempo limitado en el que un equipo de ingenieros de seguridad experimentados investiga el código en busca de cualquier cosa que parezca sospechosa. Las palabras clave aquí son "tiempo limitado" y "buscando cualquier cosa".
Puedo decir por experiencia personal que un error como el que estamos teniendo en este momento no es algo que pueda encontrar al mirar el código. Encontrar un error complejo de varios pasos como este es un proceso iterativo. Comienza cuando te tropiezas con esta cosa extraña que no está actuando como debería. Por ejemplo, un sitio web que se olvida de verificar si realmente ha iniciado sesión mientras realiza una determinada tarea. Toma esta pepita y se pregunta: "¿Cómo puedo aprovechar esto?" Encuentra ideas, navega por la plataforma en busca de otros puntos débiles y ve si puede combinarlos de alguna manera. La mayoría de las veces, no puede encontrar nada y este punto débil permanece inutilizable.
Pero con días de trabajo concentrado, múltiples ensayos y errores, a veces se descubre cómo explotar el problema original. Cuando esto sucede, siempre se trata de una combinación de factores que, por sí solos, parecen fuera de lugar, pero que en conjunto encajan en un desagradable rompecabezas.
El enfoque y la dedicación necesarios para encontrar la mayoría de los errores que llevaron a importantes ataques están más allá del alcance de una auditoría. Si fueran a perseguir cada pista con el tiempo que tenían, literalmente desperdiciarían tanto que no encontrarían las cosas fácilmente accionables y obvias. Eso no quiere decir que los oyentes nunca encuentren errores complejos, pero no es razonable esperar que encuentren todo. Y si un oyente realmente ha encontrado el error Alpha Homora y lo ha retenido, hay problemas más profundos en juego que los incentivos económicos.
Cómo proteger DeFi
Los problemas con las auditorías significan que los proyectos deben ejecutar recompensas de errores para encontrar errores realmente complejos. No tienen un límite de tiempo, muchos más ojos escanean la plataforma y el pago se basa en los resultados, mucho más eficiente que pagar a los oyentes por más horas con la esperanza de encontrar algo.
La mayoría ahora comprende el poder de las recompensas por errores, aunque, por supuesto, Alpha Homora no lo hace. Pero proyectos como Yearn.finance sí, y de todos modos fueron pirateados.
A veces estas cosas simplemente suceden. Crypto lleva el combo problemático que en realidad explota un error por dinero y se sale con la suya De Verdad fácil, mientras que la infraestructura no se parece a nada que los hackers hayan visto antes. Para comenzar a buscar recompensas en DeFi, debe ser un experto en criptografía serio y un programador experimentado de Solidity / Vyper, dos cosas que no vienen de inmediato. Para un hacker de sombrero blanco, hay muchas plataformas Web2 estándar que ofrecen recompensas muy competitivas, ¿por qué deberían molestarse en buscar DeFi?
La gente malinterpreta el desafío de asegurar protocolos. Alpha Homora dijo que cualquier recompensa que pudieran haber pagado habría palidecido en relación con el botín en juego, pero el objetivo no debería ser pagar a los piratas informáticos lo que pudieran robar. Es una propuesta perdida. El objetivo es atraer hackers de sombrero blanco de buen corazón para que analicen el proyecto y obtengan una recompensa legal. Una recompensa menor a los millones que podrían obtener al explotar el error, pero que aún puede cambiar la vida. ¿Quizás algo como $ 50,000, $ 200,000, dependiendo de la situación? Probablemente esto sea menor que el costo de una auditoría realizada por una empresa de gran reputación.
Deja una respuesta