Penulis: Andrew Thurman, Penyusun blockworks: Shan Ouba, Jinse Finance
Pasar Peminjaman yang Lebih Cerdas dan Tim White Hat yang Responsif Meningkatkan Keamanan Pasca Pelanggaran Kurva DeFi
Peretasan Curve nyaris tidak menembus 30 besar sepanjang masa, menurut Global Exploit Loss Leaderboard Rekt, meskipun sebelum topi putih dan koalisi pakar keamanan berhasil memulihkan sebagian dana yang dicuri. Ini semakin mengkhawatirkan bagi sebagian besar pengamat. Pertama-tama, Curve adalah protokol likuiditas terkenal dan bagian penting dari sistem stablecoin.
Pada hari Minggu, 30 Juli, tim Curve mengatakan setidaknya dua kali bahwa mereka telah mengurangi dampak peretasan, tetapi serangan lain yang menyebabkan kerusakan jutaan dolar pasti akan menimbulkan kegelisahan.
Kerusakan protokol dari serangan itu bisa menjadi dampak yang mengkhawatirkan menyusul berbagai sikap DeFi yang diungkapkan oleh pendiri Curve Michael Egorov.
Sebelum peretasan, pinjaman senilai lebih dari $110 juta tiba-tiba rentan karena didukung oleh token tata kelola Curve (CRV) dan token hadiah, yang telah terpukul keras. Laporan berita itu sendiri berfokus pada analisis kemungkinan dampak likuidasi, terutama kemungkinan bahwa Aave bisa menjadi korban.
Namun, akhirnya, sekelompok pembeli yang kuat (walaupun mungkin tidak mungkin) masuk. Mereka membeli CRV dalam transaksi di luar pasar, memungkinkan Egorov menyeimbangkan kembali dan melunasi hutang yang sangat besar. Saat tulisan ini dibuat, alamat utamanya memiliki utang stablecoin lebih dari $50 juta, dengan CRV spot senilai $18 juta lainnya tersedia untuk diterapkan.
Sejak podcast direkam, kesehatan posisi Egorov telah meningkat, lebih banyak dana mengalir kembali ke protokol, dan Alchemix khususnya telah pulih sepenuhnya.
Jadi saya ingin menambahkan bahwa respons komunitas terhadap peretasan dan mitigasi peretasan tampaknya berada di puncak baru, dan semoga standar keunggulan ini akan terus berlanjut.
Memang, sementara beberapa orang mungkin menuduh saya terlalu idealis tentang peretasan Curve saat debu mengendap, ada konsensus yang berkembang bahwa meskipun beberapa serangan berhasil pada salah satu produk unggulan ekosistem, serangan, tetapi DeFi akan menjadi lebih tangguh. Ini mungkin kesepakatan yang kontradiktif.
Saya sebelumnya mempertimbangkan bagaimana kami mengkonseptualisasikan dampak peretasan ini dari waktu ke waktu dalam edisi podcast Empire Blockworks. Dalam pandangan saya, kita akan mengingat ini karena pengaruhnya terhadap bagaimana pasar pinjaman menangani risiko, bukan hanya untuk jumlah dolar yang hilang.
Penyesuaian Pasar Pinjaman
Setelah pelanggaran tersebut, protokol pinjaman menghadapi pertanyaan yang terus berlanjut: mengapa posisi Michael Egorov dibiarkan menjadi begitu besar dan berpotensi berisiko? Dan pertanyaan yang lebih penting adalah: siapa yang harus bertanggung jawab?
Pendiri Euler, Michael Bently, mengatakan di Twitter bahwa insiden tersebut adalah contoh mengapa DAO – yang terdiri dari konstituen yang berpotensi tidak dewasa – mungkin bukan pilihan terbaik dalam hal manajemen risiko. Faktanya, Aave DAO, yang mengontrak perusahaan pemodelan risiko Gauntlet, tampaknya mengabaikan peringatan dari penilai risiko menjelang krisis di bulan Juni. Akhirnya, DAO memutuskan untuk mempertahankan parameter Aave v2 CRV.
Namun, Ivan Ngmi, kontributor anonim untuk Gearbox DAO, mengatakan dalam sebuah wawancara dengan Blockworks bahwa sistem manajemen risiko yang murni terprogram belum tentu merupakan pilihan terbaik karena tingkat saling ketergantungan antara protokol yang berbeda dan harga token tata kelola masing-masing. Gearbox nyaris menghindari efek peretasan kumpulan penambangan CRV/ETH selama beberapa hari.
Dia menulis: "Setiap protokol harus memikirkan protokol lain, memungkinkan kemungkinan efek berjenjang. Jika protokol ini anarkis, mereka tidak dapat mengubah apa pun, terserah pengguna protokol ini."
Situasi CRV terbilang istimewa. Dalam hal ini, pendiri protokol mengontrol hampir semua token yang beredar dan memberikan pinjaman di banyak tempat dan menggunakan token tersebut sebagai jaminan. Tata kelola on-chain yang murni membuat sulit untuk mendeteksi atau memitigasi situasi ini.
Namun, sistem dapat ditingkatkan meskipun tidak sempurna. Pendiri Aave-Chan Initiative Marc Zeller mengatakan dalam sebuah wawancara dengan Blockworks bahwa proposal baru secara bertahap akan menyelesaikan status Egorov di v2 dalam "seperempat".
"Prosesnya sedang berlangsung, dan pemanfaatan kumpulan CRV telah mempercepat kemajuan," tulisnya. Selain itu, efek samping yang menguntungkan dari penyeimbangan ulang posisi Egorov adalah bahwa total nilai terkunci (TVL) mengalir dari Aave v2, yang parameter risikonya tidak belum sepenuhnya dimitigasi, ke batas Pinjam, yang dapat membatasi peminjaman pengguna super dengan lebih baik di v3.
Zeller menambahkan: "Pada akhirnya, risiko keseluruhan v2 sekarang berkurang dan tingkat adopsi v3 meningkat, sehingga efek bersihnya positif." Di pasar, manajemen risiko dilakukan secara berbeda. Saat dihubungi, Egorov menolak berkomentar, dengan alasan posisinya sedang diatur.
SEGEL 911
Fenomena "ruang perang", di mana anggota komunitas dan sukarelawan bekerja dengan pengembang protokol yang diretas untuk mencoba mengurangi dampak pelanggaran, telah memainkan peran kunci dalam banyak pemulihan yang berhasil baru-baru ini. Namun, upaya semacam itu bisa sarat dengan kerumitan.
Dua perusahaan keamanan, Blocksec dan Supremacy, mendapat kecaman keras di media sosial setelah merilis detail tentang proses mengeksploitasi kerentanan kompiler Vyper. Robert Chen dari OtterSec menjelaskan dalam postingan blog yang sangat bagus bagaimana dua operasi topi putih yang berbeda digagalkan hanya dalam beberapa menit. Dalam peretasan ini, di mana kerentanan terus-menerus menyebabkan beberapa serangan, menerbitkan informasi tentang eksploit dapat memberikan informasi tambahan kepada penyerang potensial yang akan memungkinkan mereka melewati topi putih, yang menyebabkan kerusakan lebih lanjut.
Namun, saya bersimpati dengan Blocksec, yang merasa bahwa, tanpa ada cara untuk menghubungi tim yang terkena dampak, menjelaskan kelemahan kepada publik sehingga pengguna dapat menarik dananya adalah pilihan moral yang tepat.
Pada akhirnya, membawa orang yang tepat ke ruang perang (tanpa menarik perhatian calon topi hitam) bisa menjadi masalah ayam dan telur yang rumit. Setelah insiden Curve, komunitas mungkin telah mengembangkan kemungkinan solusi.
Peneliti keamanan Paradigma anonim yang produktif samczsun telah mengumumkan peluncuran layanan respons topi putih "eksperimental" yang disebut SEAL 911. Layanan yang terdiri dari bot Telegram ini bertujuan untuk menghubungkan tim yang baru saja diretas dengan tim ahli keamanan dan veteran ruang perang. Storm, kontributor Yearn anonim dan reguler War Room, mengatakan kepada Blockworks dalam sebuah wawancara bahwa layanan tersebut bertujuan untuk memecahkan masalah menghubungkan mereka dengan para ahli yang bersedia membantu tim yang terkena dampak. Storm juga merupakan anggota terbuka tim SEAL 911.
Dia menulis: "Sampai saat itu, Anda memerlukan personel keamanan yang andal di jaringan Anda jika terjadi insiden atau keadaan darurat... Mudah-mudahan ini akan memberi Anda hotline sekali klik dengan peneliti keamanan berpengalaman yang dapat kami percaya terhubung."
Menurut Storm, layanan tersebut telah digunakan karena anggota protokol Cypher berbasis Solana menghubungi anggota SEAL 911 pada hari Senin, tak lama setelah layanan diumumkan.
Terlebih lagi, SEAL 911 hadir pada saat respons topi putih cenderung berada pada tingkat efisiensi tertinggi. Negosiator telah mengamankan pengembalian dana dari pelanggaran sejak peretasan Euler.
Pada tanggal 30 Juli, $71 juta ditarik dari kumpulan penambangan Curve. Sampai sekarang, 75% dari jumlah tersebut telah dipulihkan melalui operasi dan negosiasi topi putih. Hanya satu pengeksploitasi yang masih memegang dana - dan bahkan mereka menghadapi tekanan yang semakin meningkat dalam bentuk pemberian komunitas.
Itu mungkin tidak menawarkan banyak penghiburan bagi penabung yang merasa terjebak pada saat terburuk peretasan. Namun di antara peningkatan protokol dan momen solidaritas dalam komunitas keamanan, ekosistem DeFi setelah serangan Curve tampak lebih sehat dari sebelumnya.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Apa selanjutnya untuk DeFi setelah krisis Curve?
Penulis: Andrew Thurman, Penyusun blockworks: Shan Ouba, Jinse Finance
Pasar Peminjaman yang Lebih Cerdas dan Tim White Hat yang Responsif Meningkatkan Keamanan Pasca Pelanggaran Kurva DeFi
Peretasan Curve nyaris tidak menembus 30 besar sepanjang masa, menurut Global Exploit Loss Leaderboard Rekt, meskipun sebelum topi putih dan koalisi pakar keamanan berhasil memulihkan sebagian dana yang dicuri. Ini semakin mengkhawatirkan bagi sebagian besar pengamat. Pertama-tama, Curve adalah protokol likuiditas terkenal dan bagian penting dari sistem stablecoin.
Pada hari Minggu, 30 Juli, tim Curve mengatakan setidaknya dua kali bahwa mereka telah mengurangi dampak peretasan, tetapi serangan lain yang menyebabkan kerusakan jutaan dolar pasti akan menimbulkan kegelisahan.
Kerusakan protokol dari serangan itu bisa menjadi dampak yang mengkhawatirkan menyusul berbagai sikap DeFi yang diungkapkan oleh pendiri Curve Michael Egorov.
Sebelum peretasan, pinjaman senilai lebih dari $110 juta tiba-tiba rentan karena didukung oleh token tata kelola Curve (CRV) dan token hadiah, yang telah terpukul keras. Laporan berita itu sendiri berfokus pada analisis kemungkinan dampak likuidasi, terutama kemungkinan bahwa Aave bisa menjadi korban.
Namun, akhirnya, sekelompok pembeli yang kuat (walaupun mungkin tidak mungkin) masuk. Mereka membeli CRV dalam transaksi di luar pasar, memungkinkan Egorov menyeimbangkan kembali dan melunasi hutang yang sangat besar. Saat tulisan ini dibuat, alamat utamanya memiliki utang stablecoin lebih dari $50 juta, dengan CRV spot senilai $18 juta lainnya tersedia untuk diterapkan.
Sejak podcast direkam, kesehatan posisi Egorov telah meningkat, lebih banyak dana mengalir kembali ke protokol, dan Alchemix khususnya telah pulih sepenuhnya.
Jadi saya ingin menambahkan bahwa respons komunitas terhadap peretasan dan mitigasi peretasan tampaknya berada di puncak baru, dan semoga standar keunggulan ini akan terus berlanjut.
Memang, sementara beberapa orang mungkin menuduh saya terlalu idealis tentang peretasan Curve saat debu mengendap, ada konsensus yang berkembang bahwa meskipun beberapa serangan berhasil pada salah satu produk unggulan ekosistem, serangan, tetapi DeFi akan menjadi lebih tangguh. Ini mungkin kesepakatan yang kontradiktif.
Saya sebelumnya mempertimbangkan bagaimana kami mengkonseptualisasikan dampak peretasan ini dari waktu ke waktu dalam edisi podcast Empire Blockworks. Dalam pandangan saya, kita akan mengingat ini karena pengaruhnya terhadap bagaimana pasar pinjaman menangani risiko, bukan hanya untuk jumlah dolar yang hilang.
Penyesuaian Pasar Pinjaman
Setelah pelanggaran tersebut, protokol pinjaman menghadapi pertanyaan yang terus berlanjut: mengapa posisi Michael Egorov dibiarkan menjadi begitu besar dan berpotensi berisiko? Dan pertanyaan yang lebih penting adalah: siapa yang harus bertanggung jawab?
Pendiri Euler, Michael Bently, mengatakan di Twitter bahwa insiden tersebut adalah contoh mengapa DAO – yang terdiri dari konstituen yang berpotensi tidak dewasa – mungkin bukan pilihan terbaik dalam hal manajemen risiko. Faktanya, Aave DAO, yang mengontrak perusahaan pemodelan risiko Gauntlet, tampaknya mengabaikan peringatan dari penilai risiko menjelang krisis di bulan Juni. Akhirnya, DAO memutuskan untuk mempertahankan parameter Aave v2 CRV.
Namun, Ivan Ngmi, kontributor anonim untuk Gearbox DAO, mengatakan dalam sebuah wawancara dengan Blockworks bahwa sistem manajemen risiko yang murni terprogram belum tentu merupakan pilihan terbaik karena tingkat saling ketergantungan antara protokol yang berbeda dan harga token tata kelola masing-masing. Gearbox nyaris menghindari efek peretasan kumpulan penambangan CRV/ETH selama beberapa hari.
Dia menulis: "Setiap protokol harus memikirkan protokol lain, memungkinkan kemungkinan efek berjenjang. Jika protokol ini anarkis, mereka tidak dapat mengubah apa pun, terserah pengguna protokol ini."
Situasi CRV terbilang istimewa. Dalam hal ini, pendiri protokol mengontrol hampir semua token yang beredar dan memberikan pinjaman di banyak tempat dan menggunakan token tersebut sebagai jaminan. Tata kelola on-chain yang murni membuat sulit untuk mendeteksi atau memitigasi situasi ini.
Namun, sistem dapat ditingkatkan meskipun tidak sempurna. Pendiri Aave-Chan Initiative Marc Zeller mengatakan dalam sebuah wawancara dengan Blockworks bahwa proposal baru secara bertahap akan menyelesaikan status Egorov di v2 dalam "seperempat".
"Prosesnya sedang berlangsung, dan pemanfaatan kumpulan CRV telah mempercepat kemajuan," tulisnya. Selain itu, efek samping yang menguntungkan dari penyeimbangan ulang posisi Egorov adalah bahwa total nilai terkunci (TVL) mengalir dari Aave v2, yang parameter risikonya tidak belum sepenuhnya dimitigasi, ke batas Pinjam, yang dapat membatasi peminjaman pengguna super dengan lebih baik di v3.
Zeller menambahkan: "Pada akhirnya, risiko keseluruhan v2 sekarang berkurang dan tingkat adopsi v3 meningkat, sehingga efek bersihnya positif." Di pasar, manajemen risiko dilakukan secara berbeda. Saat dihubungi, Egorov menolak berkomentar, dengan alasan posisinya sedang diatur.
SEGEL 911
Fenomena "ruang perang", di mana anggota komunitas dan sukarelawan bekerja dengan pengembang protokol yang diretas untuk mencoba mengurangi dampak pelanggaran, telah memainkan peran kunci dalam banyak pemulihan yang berhasil baru-baru ini. Namun, upaya semacam itu bisa sarat dengan kerumitan.
Dua perusahaan keamanan, Blocksec dan Supremacy, mendapat kecaman keras di media sosial setelah merilis detail tentang proses mengeksploitasi kerentanan kompiler Vyper. Robert Chen dari OtterSec menjelaskan dalam postingan blog yang sangat bagus bagaimana dua operasi topi putih yang berbeda digagalkan hanya dalam beberapa menit. Dalam peretasan ini, di mana kerentanan terus-menerus menyebabkan beberapa serangan, menerbitkan informasi tentang eksploit dapat memberikan informasi tambahan kepada penyerang potensial yang akan memungkinkan mereka melewati topi putih, yang menyebabkan kerusakan lebih lanjut.
Namun, saya bersimpati dengan Blocksec, yang merasa bahwa, tanpa ada cara untuk menghubungi tim yang terkena dampak, menjelaskan kelemahan kepada publik sehingga pengguna dapat menarik dananya adalah pilihan moral yang tepat.
Pada akhirnya, membawa orang yang tepat ke ruang perang (tanpa menarik perhatian calon topi hitam) bisa menjadi masalah ayam dan telur yang rumit. Setelah insiden Curve, komunitas mungkin telah mengembangkan kemungkinan solusi.
Peneliti keamanan Paradigma anonim yang produktif samczsun telah mengumumkan peluncuran layanan respons topi putih "eksperimental" yang disebut SEAL 911. Layanan yang terdiri dari bot Telegram ini bertujuan untuk menghubungkan tim yang baru saja diretas dengan tim ahli keamanan dan veteran ruang perang. Storm, kontributor Yearn anonim dan reguler War Room, mengatakan kepada Blockworks dalam sebuah wawancara bahwa layanan tersebut bertujuan untuk memecahkan masalah menghubungkan mereka dengan para ahli yang bersedia membantu tim yang terkena dampak. Storm juga merupakan anggota terbuka tim SEAL 911.
Dia menulis: "Sampai saat itu, Anda memerlukan personel keamanan yang andal di jaringan Anda jika terjadi insiden atau keadaan darurat... Mudah-mudahan ini akan memberi Anda hotline sekali klik dengan peneliti keamanan berpengalaman yang dapat kami percaya terhubung."
Menurut Storm, layanan tersebut telah digunakan karena anggota protokol Cypher berbasis Solana menghubungi anggota SEAL 911 pada hari Senin, tak lama setelah layanan diumumkan.
Terlebih lagi, SEAL 911 hadir pada saat respons topi putih cenderung berada pada tingkat efisiensi tertinggi. Negosiator telah mengamankan pengembalian dana dari pelanggaran sejak peretasan Euler.
Pada tanggal 30 Juli, $71 juta ditarik dari kumpulan penambangan Curve. Sampai sekarang, 75% dari jumlah tersebut telah dipulihkan melalui operasi dan negosiasi topi putih. Hanya satu pengeksploitasi yang masih memegang dana - dan bahkan mereka menghadapi tekanan yang semakin meningkat dalam bentuk pemberian komunitas.
Itu mungkin tidak menawarkan banyak penghiburan bagi penabung yang merasa terjebak pada saat terburuk peretasan. Namun di antara peningkatan protokol dan momen solidaritas dalam komunitas keamanan, ekosistem DeFi setelah serangan Curve tampak lebih sehat dari sebelumnya.