著者: Andrew Thurman、blockworks 編者: Shan Ouba、Jinse Finance
よりスマートな融資市場と対応力のあるホワイトハットチームがDeFiのセキュリティ侵害後のセキュリティを向上
Rekt の Global Exploit Loss Leaderboard によると、Curve のハッキングはかろうじて歴代トップ 30 に入る程度でしたが、ホワイトハットとセキュリティ専門家の連合が盗まれた資金の一部を回収することに成功しました。このことは、ほとんどの観察者にとってさらに心配なことです。まず第一に、Curve はよく知られた流動性プロトコルであり、ステーブルコイン システムの重要な部分です。
7月30日日曜日、Curveチームはハッキングの影響は軽減されたと少なくとも2回述べたが、数百万ドルの損害を引き起こした新たな攻撃が不安を引き起こすのは間違いない。
この攻撃によるプロトコルへのダメージは、Curve創設者のマイケル・エゴロフ氏が表明したさまざまなDeFiスタンスに続く憂慮すべき余波となる可能性がある。
ハッキングの前、1億1,000万ドル以上相当のローンは、すでに大きな打撃を受けていたCurveのガバナンス・トークン(CRV)と報酬トークンによって裏付けられていたため、突然脆弱になった。ニュース報道自体は、清算による影響の可能性、特に Aave が被害者となる可能性の分析に焦点を当てていました。
しかし最終的には、有力な(可能性は低いかもしれないが)買い手グループが介入してきた。彼らはCRVを市場外取引で購入し、エゴロフ氏がリバランスして巨額の負債を返済できるようにした。この記事の執筆時点で、彼のプライマリアドレスには 5,000 万ドルを超えるステーブルコイン負債があり、さらに 1,800 万ドルのスポット CRV が展開に利用可能です。
ポッドキャストが録画されて以来、エゴロフのポジションの健全性は改善し、より多くの資金がプロトコルに還流し、特にアルケミックスは完全に回復しました。
したがって、ハッキングやハッキングの緩和に対するコミュニティの反応は新たなピークに達しているようであり、この優れた水準が今後も続くことを願っていることを付け加えておきたいと思います。
実際、問題が解決するにつれて、Curveのハッキングについて私が理想主義的すぎると非難する人もいるかもしれませんが、エコシステムの主力製品の1つに対する複数の攻撃が成功したにもかかわらず、DeFiはより回復力を持つようになるというコンセンサスが増えています。これは矛盾した合意である可能性があります。
私は以前、Blockworks の Empire ポッドキャスト版で、このハッキングの長期にわたる影響をどのように概念化したかについて検討しました。私の考えでは、このことは損失額だけでなく、ローン市場がリスクに対処する方法に与える影響として記憶に残るでしょう。
この違反を受けて、融資プロトコルは継続的な疑問に直面した。なぜマイケル・エゴロフ氏のポジションがこれほど大きくなり、潜在的にリスクが高まることが許されたのか?そして、より重要な問題は、誰が責任を負うべきなのかということです。
オイラーの創設者マイケル・ベントリー氏はツイッターで、今回の事件は潜在的に未成熟な支持層で構成されているDAOがリスク管理の観点から最良の選択ではない理由の一例だと述べた。実際、リスクモデリング会社ガントレットと契約したAave DAOは、6月の危機前にリスク評価担当者からの警告を無視していたようだ。最終的に、DAO は Aave v2 CRV パラメーターを維持することを決定しました。
しかし、Gearbox DAOの匿名寄稿者であるIvan Ngmi氏は、Blockworksとのインタビューで、異なるプロトコルとそれぞれのガバナンストークン価格間の相互依存性の程度により、純粋にプログラム的なリスク管理システムが必ずしも最良の選択肢ではないと述べた。 Gearbox は数日間、CRV/ETH マイニングプールのハッキングの影響をかろうじて回避しました。
「すべてのプロトコルは、連鎖的な影響を考慮して、他のプロトコルについて考慮する必要があります。これらのプロトコルがアナーキーであれば、何も変更することはできません。これらのプロトコルのユーザー次第です。」
CRV の状況はやや特殊です。この場合、プロトコルの創設者は流通しているほぼすべてのトークンを管理し、複数の場所で融資を行い、それらのトークンを担保として使用します。純粋にオンチェーンのガバナンスでは、この状況を検出したり軽減したりすることが困難になります。
ただし、システムは完璧でなくても強化することができます。 Aave-Chan Initiative の創設者である Marc Zeller 氏は、Blockworks とのインタビューで、新しい提案によって v2 におけるエゴロフのステータスが「1 四半期」以内に段階的に解決されるだろうと語った。
同氏は、「プロセスは進行中であり、CRVプールの利用により進歩が加速した。さらに、エゴロフ氏のポジション再調整の有益な副作用として、トータル・バリュー・ロックド(TVL)がAave v2からフローすることであるが、そのリスク・パラメーターは変更されていない」と述べた。 v3 ではスーパーユーザーの借入をより適切に制限できる借入上限まで完全に緩和されています。
ゼラー氏はさらに、「最終的には、v2 の全体的なリスクが軽減され、v3 の採用率が増加するため、最終的な効果はプラスになります。」市場では、リスク管理がこれまでとは異なる方法で行われています。連絡を受けたエゴロフ氏は、自分の立場が管理されているとしてコメントを拒否した。
コミュニティのメンバーやボランティアがハッキングされたプロトコル開発者と協力して侵害の影響を軽減しようとする「作戦室」現象は、最近の多くの成功した復旧において重要な役割を果たしています。ただし、このような取り組みには複雑さが伴う場合があります。
Blocksec と Supremacy という 2 つのセキュリティ企業は、Vyper コンパイラの脆弱性を悪用するプロセスの詳細を公開した後、ソーシャル メディアで激しい批判にさらされています。 OtterSec の Robert Chen は、優れたブログ投稿で、2 つの異なるホワイトハット作戦がわずか数分でどのように阻止されたかを説明しました。このハッキングでは、永続的な脆弱性が複数の攻撃を引き起こしましたが、エクスプロイトに関する情報を公開することで、潜在的な攻撃者にホワイトハットをすり抜けられる追加情報が与えられ、さらなる被害につながる可能性がありました。
しかし、私は Blocksec に同情します。Blocksec は、影響を受けたチームと連絡を取る方法がないため、ユーザーが資金を引き出すことができるように一般に欠陥を説明することが正しい道徳的選択であると考えています。
結局のところ、(ブラックハット候補者の注意を引くことなく)適切な人材を作戦室に連れてくることは、鶏が先か卵が先かという難しい問題になる可能性があります。 Curve 事件の後、コミュニティは考えられる解決策を開発した可能性があります。
多作の匿名パラダイムセキュリティ研究者samczsun氏は、SEAL 911と呼ばれる「実験的」ホワイトハット対応サービスの開始を発表した。 Telegram ボットで構成されるこのサービスは、最近ハッキングされたチームをセキュリティ専門家や作戦室退役軍人のチームと結び付けることを目的としています。 Yearn の匿名の寄稿者で War Room の常連である Storm 氏は、Blockworks のインタビューで、このサービスの目的は、影響を受けたチームを支援する意欲のある専門家とのつながりの問題点を解決することであると語った。ストームは SEAL 911 チームのオープンメンバーでもあります。
同氏は、「それまでは、インシデントや緊急事態が発生した場合に備えて、ネットワーク上に信頼できるセキュリティ担当者が必要です。これにより、信頼できる経験豊富なセキュリティ研究者がワンクリックでホットラインに接続できるようになれば幸いです。」と書いています。
ストーム氏によると、このサービスが発表された直後の月曜日に、ソラナベースのサイファー・プロトコルのメンバーがSEAL 911メンバーに連絡したため、このサービスはすでに使用されているという。
さらに、SEAL 911 は、ホワイトハット対応が最高レベルの効率性を発揮する可能性が高い時期に到着します。オイラーのハッキング以来、交渉担当者は侵害からの資金の返還を確保してきた。
7 月 30 日、Curve マイニング プールから 7,100 万ドルが引き出しられました。現時点では、ホワイトハット作戦と交渉を通じて金額の75%が回収されています。搾取者はまだ 1 人だけが資金を保有しており、その彼らさえもコミュニティからの報奨金という形でプレッシャーの増大に直面しています。
ハッキングの最悪の瞬間に閉じ込められたと感じた貯蓄者にとって、それはあまり慰めにはならないかもしれない。しかし、プロトコルの改善とセキュリティコミュニティ内の団結の瞬間の間に、Curve攻撃後のDeFiエコシステムは以前よりも健全になっているように見えます。
13k 人気度
207k 人気度
31k 人気度
175k 人気度
4k 人気度
Curve危機後のDeFiの次は何でしょうか?
著者: Andrew Thurman、blockworks 編者: Shan Ouba、Jinse Finance
よりスマートな融資市場と対応力のあるホワイトハットチームがDeFiのセキュリティ侵害後のセキュリティを向上
Rekt の Global Exploit Loss Leaderboard によると、Curve のハッキングはかろうじて歴代トップ 30 に入る程度でしたが、ホワイトハットとセキュリティ専門家の連合が盗まれた資金の一部を回収することに成功しました。このことは、ほとんどの観察者にとってさらに心配なことです。まず第一に、Curve はよく知られた流動性プロトコルであり、ステーブルコイン システムの重要な部分です。
7月30日日曜日、Curveチームはハッキングの影響は軽減されたと少なくとも2回述べたが、数百万ドルの損害を引き起こした新たな攻撃が不安を引き起こすのは間違いない。
この攻撃によるプロトコルへのダメージは、Curve創設者のマイケル・エゴロフ氏が表明したさまざまなDeFiスタンスに続く憂慮すべき余波となる可能性がある。
ハッキングの前、1億1,000万ドル以上相当のローンは、すでに大きな打撃を受けていたCurveのガバナンス・トークン(CRV)と報酬トークンによって裏付けられていたため、突然脆弱になった。ニュース報道自体は、清算による影響の可能性、特に Aave が被害者となる可能性の分析に焦点を当てていました。
しかし最終的には、有力な(可能性は低いかもしれないが)買い手グループが介入してきた。彼らはCRVを市場外取引で購入し、エゴロフ氏がリバランスして巨額の負債を返済できるようにした。この記事の執筆時点で、彼のプライマリアドレスには 5,000 万ドルを超えるステーブルコイン負債があり、さらに 1,800 万ドルのスポット CRV が展開に利用可能です。
ポッドキャストが録画されて以来、エゴロフのポジションの健全性は改善し、より多くの資金がプロトコルに還流し、特にアルケミックスは完全に回復しました。
したがって、ハッキングやハッキングの緩和に対するコミュニティの反応は新たなピークに達しているようであり、この優れた水準が今後も続くことを願っていることを付け加えておきたいと思います。
実際、問題が解決するにつれて、Curveのハッキングについて私が理想主義的すぎると非難する人もいるかもしれませんが、エコシステムの主力製品の1つに対する複数の攻撃が成功したにもかかわらず、DeFiはより回復力を持つようになるというコンセンサスが増えています。これは矛盾した合意である可能性があります。
私は以前、Blockworks の Empire ポッドキャスト版で、このハッキングの長期にわたる影響をどのように概念化したかについて検討しました。私の考えでは、このことは損失額だけでなく、ローン市場がリスクに対処する方法に与える影響として記憶に残るでしょう。
ローン市場の調整
この違反を受けて、融資プロトコルは継続的な疑問に直面した。なぜマイケル・エゴロフ氏のポジションがこれほど大きくなり、潜在的にリスクが高まることが許されたのか?そして、より重要な問題は、誰が責任を負うべきなのかということです。
オイラーの創設者マイケル・ベントリー氏はツイッターで、今回の事件は潜在的に未成熟な支持層で構成されているDAOがリスク管理の観点から最良の選択ではない理由の一例だと述べた。実際、リスクモデリング会社ガントレットと契約したAave DAOは、6月の危機前にリスク評価担当者からの警告を無視していたようだ。最終的に、DAO は Aave v2 CRV パラメーターを維持することを決定しました。
しかし、Gearbox DAOの匿名寄稿者であるIvan Ngmi氏は、Blockworksとのインタビューで、異なるプロトコルとそれぞれのガバナンストークン価格間の相互依存性の程度により、純粋にプログラム的なリスク管理システムが必ずしも最良の選択肢ではないと述べた。 Gearbox は数日間、CRV/ETH マイニングプールのハッキングの影響をかろうじて回避しました。
「すべてのプロトコルは、連鎖的な影響を考慮して、他のプロトコルについて考慮する必要があります。これらのプロトコルがアナーキーであれば、何も変更することはできません。これらのプロトコルのユーザー次第です。」
CRV の状況はやや特殊です。この場合、プロトコルの創設者は流通しているほぼすべてのトークンを管理し、複数の場所で融資を行い、それらのトークンを担保として使用します。純粋にオンチェーンのガバナンスでは、この状況を検出したり軽減したりすることが困難になります。
ただし、システムは完璧でなくても強化することができます。 Aave-Chan Initiative の創設者である Marc Zeller 氏は、Blockworks とのインタビューで、新しい提案によって v2 におけるエゴロフのステータスが「1 四半期」以内に段階的に解決されるだろうと語った。
同氏は、「プロセスは進行中であり、CRVプールの利用により進歩が加速した。さらに、エゴロフ氏のポジション再調整の有益な副作用として、トータル・バリュー・ロックド(TVL)がAave v2からフローすることであるが、そのリスク・パラメーターは変更されていない」と述べた。 v3 ではスーパーユーザーの借入をより適切に制限できる借入上限まで完全に緩和されています。
ゼラー氏はさらに、「最終的には、v2 の全体的なリスクが軽減され、v3 の採用率が増加するため、最終的な効果はプラスになります。」市場では、リスク管理がこれまでとは異なる方法で行われています。連絡を受けたエゴロフ氏は、自分の立場が管理されているとしてコメントを拒否した。
シール911
コミュニティのメンバーやボランティアがハッキングされたプロトコル開発者と協力して侵害の影響を軽減しようとする「作戦室」現象は、最近の多くの成功した復旧において重要な役割を果たしています。ただし、このような取り組みには複雑さが伴う場合があります。
Blocksec と Supremacy という 2 つのセキュリティ企業は、Vyper コンパイラの脆弱性を悪用するプロセスの詳細を公開した後、ソーシャル メディアで激しい批判にさらされています。 OtterSec の Robert Chen は、優れたブログ投稿で、2 つの異なるホワイトハット作戦がわずか数分でどのように阻止されたかを説明しました。このハッキングでは、永続的な脆弱性が複数の攻撃を引き起こしましたが、エクスプロイトに関する情報を公開することで、潜在的な攻撃者にホワイトハットをすり抜けられる追加情報が与えられ、さらなる被害につながる可能性がありました。
しかし、私は Blocksec に同情します。Blocksec は、影響を受けたチームと連絡を取る方法がないため、ユーザーが資金を引き出すことができるように一般に欠陥を説明することが正しい道徳的選択であると考えています。
結局のところ、(ブラックハット候補者の注意を引くことなく)適切な人材を作戦室に連れてくることは、鶏が先か卵が先かという難しい問題になる可能性があります。 Curve 事件の後、コミュニティは考えられる解決策を開発した可能性があります。
多作の匿名パラダイムセキュリティ研究者samczsun氏は、SEAL 911と呼ばれる「実験的」ホワイトハット対応サービスの開始を発表した。 Telegram ボットで構成されるこのサービスは、最近ハッキングされたチームをセキュリティ専門家や作戦室退役軍人のチームと結び付けることを目的としています。 Yearn の匿名の寄稿者で War Room の常連である Storm 氏は、Blockworks のインタビューで、このサービスの目的は、影響を受けたチームを支援する意欲のある専門家とのつながりの問題点を解決することであると語った。ストームは SEAL 911 チームのオープンメンバーでもあります。
同氏は、「それまでは、インシデントや緊急事態が発生した場合に備えて、ネットワーク上に信頼できるセキュリティ担当者が必要です。これにより、信頼できる経験豊富なセキュリティ研究者がワンクリックでホットラインに接続できるようになれば幸いです。」と書いています。
ストーム氏によると、このサービスが発表された直後の月曜日に、ソラナベースのサイファー・プロトコルのメンバーがSEAL 911メンバーに連絡したため、このサービスはすでに使用されているという。
さらに、SEAL 911 は、ホワイトハット対応が最高レベルの効率性を発揮する可能性が高い時期に到着します。オイラーのハッキング以来、交渉担当者は侵害からの資金の返還を確保してきた。
7 月 30 日、Curve マイニング プールから 7,100 万ドルが引き出しられました。現時点では、ホワイトハット作戦と交渉を通じて金額の75%が回収されています。搾取者はまだ 1 人だけが資金を保有しており、その彼らさえもコミュニティからの報奨金という形でプレッシャーの増大に直面しています。
ハッキングの最悪の瞬間に閉じ込められたと感じた貯蓄者にとって、それはあまり慰めにはならないかもしれない。しかし、プロトコルの改善とセキュリティコミュニティ内の団結の瞬間の間に、Curve攻撃後のDeFiエコシステムは以前よりも健全になっているように見えます。