Des marchés de prêt plus intelligents et des équipes White Hat réactives améliorent la sécurité de DeFi après la violation de la courbe
Le piratage Curve a à peine atteint le top 30 de tous les temps, selon le classement mondial des pertes d'exploitation de Rekt, bien qu'avant que les chapeaux blancs et une coalition d'experts en sécurité ne parviennent à récupérer une partie des fonds volés. C'est d'autant plus inquiétant pour la plupart des observateurs. Tout d'abord, Curve est un protocole de liquidité bien connu et un élément essentiel du système stablecoin.
Le dimanche 30 juillet, l'équipe de Curve a déclaré au moins à deux reprises qu'elle avait atténué l'impact du piratage, mais une autre attaque qui a causé des millions de dollars de dégâts provoquera sans aucun doute un malaise.
Les dommages causés au protocole par l'attaque pourraient être des retombées inquiétantes suite aux différentes positions DeFi exprimées par le fondateur de Curve, Michael Egorov.
Avant le piratage, les prêts d'une valeur de plus de 110 millions de dollars étaient soudainement vulnérables car ils étaient soutenus par le jeton de gouvernance (CRV) et les jetons de récompense de Curve, qui avaient déjà été durement touchés. Les reportages eux-mêmes se sont concentrés sur l'analyse des retombées possibles de la liquidation, en particulier la possibilité qu'Aave puisse en être victime.
Finalement, cependant, un groupe d'acheteurs fort (bien que peut-être peu probable) est intervenu. Ils ont acheté CRV dans le cadre d'une transaction hors marché, permettant à Egorov de rééquilibrer et de rembourser l'énorme dette. Au moment d'écrire ces lignes, son adresse principale a un peu plus de 50 millions de dollars de dette stable, avec 18 millions de dollars supplémentaires en CRV disponible pour le déploiement.
Depuis l'enregistrement du podcast, la santé de la position d'Egorov s'est améliorée, davantage de fonds ont été réinjectés dans le protocole et Alchemix en particulier s'est complètement rétabli.
J'aimerais donc ajouter que la réponse de la communauté au piratage et aux atténuations de piratage semble avoir atteint un nouveau sommet, et j'espère que ce niveau d'excellence se poursuivra.
En effet, alors que certains peuvent m'accuser d'être trop idéaliste à propos du hack Curve alors que la poussière retombe, il y a un consensus croissant que malgré de multiples attaques réussies sur l'un des produits phares de l'écosystème, attaque, mais DeFi deviendra plus résilient. Il peut s'agir d'un accord contradictoire.
J'ai déjà expliqué comment nous avons conceptualisé l'impact de ce piratage au fil du temps dans une édition du podcast Empire de Blockworks. À mon avis, nous nous en souviendrons pour son impact sur la façon dont le marché des prêts gère le risque, et pas seulement pour le montant en dollars perdu.
Ajustement du marché des prêts
À la suite de la violation, le protocole de prêt était confronté à une question récurrente : pourquoi la position de Michael Egorov a-t-elle été autorisée à devenir si importante et potentiellement risquée ? Et la question la plus importante est : qui devrait être tenu responsable ?
Le fondateur d'Euler, Michael Bently, a déclaré sur Twitter que l'incident est un exemple de la raison pour laquelle les DAO - composés de circonscriptions potentiellement immatures - peuvent ne pas être le meilleur choix en matière de gestion des risques. En fait, Aave DAO, qui a engagé la société de modélisation des risques Gauntlet, semble avoir ignoré les avertissements des évaluateurs de risques avant la crise de juin. En fin de compte, le DAO a décidé de conserver le paramètre Aave v2 CRV.
Cependant, Ivan Ngmi, un contributeur anonyme de Gearbox DAO, a déclaré dans une interview avec Blockworks qu'un système de gestion des risques purement programmatique n'est pas nécessairement la meilleure option en raison du degré d'interdépendance entre les différents protocoles et de leurs prix de jeton de gouvernance respectifs. Gearbox a évité de justesse les effets du piratage du pool de minage CRV/ETH pendant quelques jours.
Il a écrit : "Chaque protocole doit penser à d'autres protocoles, permettant d'éventuels effets en cascade. Si ces protocoles sont anarchiques, ils ne peuvent rien changer, c'est aux utilisateurs de ces protocoles qu'il appartient."
La situation de CRV est un peu particulière. Dans ce cas, les fondateurs du protocole contrôlent presque tous les jetons en circulation et font des prêts à plusieurs endroits et utilisent ces jetons comme garantie. La gouvernance purement en chaîne rend difficile la détection ou l'atténuation de cette situation.
Cependant, les systèmes peuvent être améliorés même s'ils ne sont pas parfaits. Le fondateur d'Aave-Chan Initiative, Marc Zeller, a déclaré dans une interview à Blockworks qu'une nouvelle proposition résoudrait progressivement le statut d'Egorov dans la v2 en "un quart".
"Le processus est en cours et l'utilisation du pool CRV a accéléré les progrès », a-t-il écrit. De plus, un effet secondaire bénéfique du rééquilibrage des positions d'Egorov est que la valeur totale verrouillée (TVL) découle d'Aave v2, dont les paramètres de risque n'ont pas encore été entièrement atténué, au plafond d'emprunt, ce qui peut mieux limiter les emprunts des superutilisateurs dans la v3.
Zeller a ajouté : "En fin de compte, le risque global de la v2 est maintenant réduit et le taux d'adoption de la v3 est augmenté, donc l'effet net est positif." Sur le marché, la gestion des risques se fait différemment. Lorsqu'il a été contacté, Egorov a refusé de commenter, citant que sa position était gérée.
SCEAU 911
Le phénomène de « salle de guerre », dans lequel les membres de la communauté et les bénévoles travaillent avec des développeurs de protocoles piratés pour tenter d'atténuer l'impact d'une violation, a joué un rôle clé dans de nombreuses récupérations réussies récentes. Cependant, un tel effort peut être lourd de complexités.
Deux sociétés de sécurité, Blocksec et Supremacy, ont fait l'objet de vives critiques sur les réseaux sociaux après avoir publié des détails sur le processus d'exploitation d'une vulnérabilité du compilateur Vyper. Robert Chen d'OtterSec a décrit dans un excellent article de blog comment deux opérations White Hat différentes ont été contrecarrées en quelques minutes seulement. Dans ce piratage, où des vulnérabilités persistantes ont conduit à de multiples attaques, la publication d'informations sur les exploits aurait pu donner aux attaquants potentiels des informations supplémentaires qui leur auraient permis de passer outre les chapeaux blancs, entraînant d'autres dommages.
Cependant, je sympathise avec Blocksec, qui estime que, sans aucun moyen d'entrer en contact avec l'équipe concernée, expliquer la faille au public afin que les utilisateurs puissent retirer leurs fonds est le bon choix moral.
En fin de compte, amener les bonnes personnes dans la salle de guerre (sans attirer l'attention des prétendus chapeaux noirs) peut être un problème délicat de poule et d'œuf. Après l'incident de Curve, la communauté a peut-être développé une solution possible.
Samczsun, chercheur en sécurité anonyme et prolifique de Paradigm, a annoncé le lancement d'un service de réponse chapeau blanc "expérimental" appelé SEAL 911. Le service, composé de robots Telegram, vise à connecter des équipes récemment piratées avec une équipe d'experts en sécurité et de vétérans de la salle de guerre. Storm, un contributeur anonyme de Yearn et un habitué de War Room, a déclaré dans une interview avec Blockworks que le service vise à résoudre un problème de mise en relation avec des experts désireux d'aider les équipes concernées. Storm est également un membre ouvert de l'équipe SEAL 911.
Il a écrit : "En attendant, vous avez besoin d'un personnel de sécurité fiable sur votre réseau en cas d'incidents ou d'urgences... J'espère que cela vous donnera une hotline en un clic avec des chercheurs en sécurité expérimentés en qui nous pouvons avoir confiance."
Selon Storm, le service a déjà été utilisé car les membres du protocole Cypher basé à Solana ont contacté les membres du SEAL 911 lundi, peu de temps après l'annonce du service.
De plus, SEAL 911 arrive à un moment où la réponse du chapeau blanc est susceptible d'être à son plus haut niveau d'efficacité. Les négociateurs ont obtenu le retour des fonds de la violation depuis le piratage d'Euler.
Le 30 juillet, 71 millions de dollars ont été retirés du pool minier Curve. À ce jour, 75 % du montant a été récupéré grâce à des opérations chapeau blanc et à des négociations. Un seul exploiteur détient encore des fonds - et même lui fait face à une pression croissante sous la forme de primes communautaires.
Cela n'offre peut-être pas beaucoup de consolation aux épargnants qui se sont sentis piégés au pire moment du piratage. Mais entre les améliorations du protocole et un moment de solidarité au sein de la communauté de la sécurité, l'écosystème DeFi après l'attaque Curve semble être plus sain qu'avant.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Quelle est la prochaine étape pour DeFi après la crise de Curve ?
Auteur : Andrew Thurman, blockworks Compilateur : Shan Ouba, Jinse Finance
Des marchés de prêt plus intelligents et des équipes White Hat réactives améliorent la sécurité de DeFi après la violation de la courbe
Le piratage Curve a à peine atteint le top 30 de tous les temps, selon le classement mondial des pertes d'exploitation de Rekt, bien qu'avant que les chapeaux blancs et une coalition d'experts en sécurité ne parviennent à récupérer une partie des fonds volés. C'est d'autant plus inquiétant pour la plupart des observateurs. Tout d'abord, Curve est un protocole de liquidité bien connu et un élément essentiel du système stablecoin.
Le dimanche 30 juillet, l'équipe de Curve a déclaré au moins à deux reprises qu'elle avait atténué l'impact du piratage, mais une autre attaque qui a causé des millions de dollars de dégâts provoquera sans aucun doute un malaise.
Les dommages causés au protocole par l'attaque pourraient être des retombées inquiétantes suite aux différentes positions DeFi exprimées par le fondateur de Curve, Michael Egorov.
Avant le piratage, les prêts d'une valeur de plus de 110 millions de dollars étaient soudainement vulnérables car ils étaient soutenus par le jeton de gouvernance (CRV) et les jetons de récompense de Curve, qui avaient déjà été durement touchés. Les reportages eux-mêmes se sont concentrés sur l'analyse des retombées possibles de la liquidation, en particulier la possibilité qu'Aave puisse en être victime.
Finalement, cependant, un groupe d'acheteurs fort (bien que peut-être peu probable) est intervenu. Ils ont acheté CRV dans le cadre d'une transaction hors marché, permettant à Egorov de rééquilibrer et de rembourser l'énorme dette. Au moment d'écrire ces lignes, son adresse principale a un peu plus de 50 millions de dollars de dette stable, avec 18 millions de dollars supplémentaires en CRV disponible pour le déploiement.
Depuis l'enregistrement du podcast, la santé de la position d'Egorov s'est améliorée, davantage de fonds ont été réinjectés dans le protocole et Alchemix en particulier s'est complètement rétabli.
J'aimerais donc ajouter que la réponse de la communauté au piratage et aux atténuations de piratage semble avoir atteint un nouveau sommet, et j'espère que ce niveau d'excellence se poursuivra.
En effet, alors que certains peuvent m'accuser d'être trop idéaliste à propos du hack Curve alors que la poussière retombe, il y a un consensus croissant que malgré de multiples attaques réussies sur l'un des produits phares de l'écosystème, attaque, mais DeFi deviendra plus résilient. Il peut s'agir d'un accord contradictoire.
J'ai déjà expliqué comment nous avons conceptualisé l'impact de ce piratage au fil du temps dans une édition du podcast Empire de Blockworks. À mon avis, nous nous en souviendrons pour son impact sur la façon dont le marché des prêts gère le risque, et pas seulement pour le montant en dollars perdu.
Ajustement du marché des prêts
À la suite de la violation, le protocole de prêt était confronté à une question récurrente : pourquoi la position de Michael Egorov a-t-elle été autorisée à devenir si importante et potentiellement risquée ? Et la question la plus importante est : qui devrait être tenu responsable ?
Le fondateur d'Euler, Michael Bently, a déclaré sur Twitter que l'incident est un exemple de la raison pour laquelle les DAO - composés de circonscriptions potentiellement immatures - peuvent ne pas être le meilleur choix en matière de gestion des risques. En fait, Aave DAO, qui a engagé la société de modélisation des risques Gauntlet, semble avoir ignoré les avertissements des évaluateurs de risques avant la crise de juin. En fin de compte, le DAO a décidé de conserver le paramètre Aave v2 CRV.
Cependant, Ivan Ngmi, un contributeur anonyme de Gearbox DAO, a déclaré dans une interview avec Blockworks qu'un système de gestion des risques purement programmatique n'est pas nécessairement la meilleure option en raison du degré d'interdépendance entre les différents protocoles et de leurs prix de jeton de gouvernance respectifs. Gearbox a évité de justesse les effets du piratage du pool de minage CRV/ETH pendant quelques jours.
Il a écrit : "Chaque protocole doit penser à d'autres protocoles, permettant d'éventuels effets en cascade. Si ces protocoles sont anarchiques, ils ne peuvent rien changer, c'est aux utilisateurs de ces protocoles qu'il appartient."
La situation de CRV est un peu particulière. Dans ce cas, les fondateurs du protocole contrôlent presque tous les jetons en circulation et font des prêts à plusieurs endroits et utilisent ces jetons comme garantie. La gouvernance purement en chaîne rend difficile la détection ou l'atténuation de cette situation.
Cependant, les systèmes peuvent être améliorés même s'ils ne sont pas parfaits. Le fondateur d'Aave-Chan Initiative, Marc Zeller, a déclaré dans une interview à Blockworks qu'une nouvelle proposition résoudrait progressivement le statut d'Egorov dans la v2 en "un quart".
"Le processus est en cours et l'utilisation du pool CRV a accéléré les progrès », a-t-il écrit. De plus, un effet secondaire bénéfique du rééquilibrage des positions d'Egorov est que la valeur totale verrouillée (TVL) découle d'Aave v2, dont les paramètres de risque n'ont pas encore été entièrement atténué, au plafond d'emprunt, ce qui peut mieux limiter les emprunts des superutilisateurs dans la v3.
Zeller a ajouté : "En fin de compte, le risque global de la v2 est maintenant réduit et le taux d'adoption de la v3 est augmenté, donc l'effet net est positif." Sur le marché, la gestion des risques se fait différemment. Lorsqu'il a été contacté, Egorov a refusé de commenter, citant que sa position était gérée.
SCEAU 911
Le phénomène de « salle de guerre », dans lequel les membres de la communauté et les bénévoles travaillent avec des développeurs de protocoles piratés pour tenter d'atténuer l'impact d'une violation, a joué un rôle clé dans de nombreuses récupérations réussies récentes. Cependant, un tel effort peut être lourd de complexités.
Deux sociétés de sécurité, Blocksec et Supremacy, ont fait l'objet de vives critiques sur les réseaux sociaux après avoir publié des détails sur le processus d'exploitation d'une vulnérabilité du compilateur Vyper. Robert Chen d'OtterSec a décrit dans un excellent article de blog comment deux opérations White Hat différentes ont été contrecarrées en quelques minutes seulement. Dans ce piratage, où des vulnérabilités persistantes ont conduit à de multiples attaques, la publication d'informations sur les exploits aurait pu donner aux attaquants potentiels des informations supplémentaires qui leur auraient permis de passer outre les chapeaux blancs, entraînant d'autres dommages.
Cependant, je sympathise avec Blocksec, qui estime que, sans aucun moyen d'entrer en contact avec l'équipe concernée, expliquer la faille au public afin que les utilisateurs puissent retirer leurs fonds est le bon choix moral.
En fin de compte, amener les bonnes personnes dans la salle de guerre (sans attirer l'attention des prétendus chapeaux noirs) peut être un problème délicat de poule et d'œuf. Après l'incident de Curve, la communauté a peut-être développé une solution possible.
Samczsun, chercheur en sécurité anonyme et prolifique de Paradigm, a annoncé le lancement d'un service de réponse chapeau blanc "expérimental" appelé SEAL 911. Le service, composé de robots Telegram, vise à connecter des équipes récemment piratées avec une équipe d'experts en sécurité et de vétérans de la salle de guerre. Storm, un contributeur anonyme de Yearn et un habitué de War Room, a déclaré dans une interview avec Blockworks que le service vise à résoudre un problème de mise en relation avec des experts désireux d'aider les équipes concernées. Storm est également un membre ouvert de l'équipe SEAL 911.
Il a écrit : "En attendant, vous avez besoin d'un personnel de sécurité fiable sur votre réseau en cas d'incidents ou d'urgences... J'espère que cela vous donnera une hotline en un clic avec des chercheurs en sécurité expérimentés en qui nous pouvons avoir confiance."
Selon Storm, le service a déjà été utilisé car les membres du protocole Cypher basé à Solana ont contacté les membres du SEAL 911 lundi, peu de temps après l'annonce du service.
De plus, SEAL 911 arrive à un moment où la réponse du chapeau blanc est susceptible d'être à son plus haut niveau d'efficacité. Les négociateurs ont obtenu le retour des fonds de la violation depuis le piratage d'Euler.
Le 30 juillet, 71 millions de dollars ont été retirés du pool minier Curve. À ce jour, 75 % du montant a été récupéré grâce à des opérations chapeau blanc et à des négociations. Un seul exploiteur détient encore des fonds - et même lui fait face à une pression croissante sous la forme de primes communautaires.
Cela n'offre peut-être pas beaucoup de consolation aux épargnants qui se sont sentis piégés au pire moment du piratage. Mais entre les améliorations du protocole et un moment de solidarité au sein de la communauté de la sécurité, l'écosystème DeFi après l'attaque Curve semble être plus sain qu'avant.