Autor: Andrew Thurman, blockworks Compilador: Shan Ouba, Jinse Finance
Mercados de empréstimos mais inteligentes e equipes de chapéu branco responsivas melhoram a violação pós-curva de segurança do DeFi
O hack do Curve mal chegou ao top 30 de todos os tempos, de acordo com o Global Exploit Loss Leaderboard da Rekt, embora antes que os chapéus brancos e uma coalizão de especialistas em segurança conseguissem recuperar alguns dos fundos roubados. Isso é ainda mais preocupante para a maioria dos observadores. Em primeiro lugar, o Curve é um protocolo de liquidez bem conhecido e uma parte vital do sistema stablecoin.
No domingo, 30 de julho, a equipe do Curve disse pelo menos duas vezes que havia mitigado o impacto do hack, mas outro ataque que causou danos de milhões de dólares sem dúvida causará desconforto.
O dano ao protocolo do ataque pode ser uma consequência preocupante após as várias posições DeFi expressas pelo fundador da Curve, Michael Egorov.
Antes do hack, empréstimos no valor de mais de US$ 110 milhões ficaram repentinamente vulneráveis porque eram respaldados pelo token de governança (CRV) da Curve e tokens de recompensa, que já haviam sido duramente atingidos. Os próprios noticiários se concentraram em analisar as possíveis consequências da liquidação, principalmente a possibilidade de a Aave ser uma vítima.
Eventualmente, no entanto, um grupo forte (embora talvez improvável) de compradores interveio. Eles compraram o CRV em uma transação fora do mercado, permitindo que Egorov se reequilibrasse e pagasse a enorme dívida. No momento em que este livro foi escrito, seu endereço principal tinha pouco mais de US$ 50 milhões em dívidas de stablecoin, com outros US$ 18 milhões em CRV à vista disponíveis para implantação.
Desde que o podcast foi gravado, a saúde da posição de Egorov melhorou, mais fundos voltaram para o protocolo e a Alchemix em particular se recuperou totalmente.
Portanto, gostaria de acrescentar que a resposta da comunidade ao hack e às mitigações de hack parece estar em um novo pico e espero que esse padrão de excelência continue.
De fato, embora alguns possam me acusar de ser muito idealista sobre o hack do Curve enquanto a poeira baixa, há um consenso crescente de que, apesar de vários ataques bem-sucedidos a um dos principais produtos do ecossistema, o ataque, mas o DeFi se tornará mais resistente. Este pode ser um acordo contraditório.
Anteriormente, ponderei sobre como conceitualizamos o impacto desse hack ao longo do tempo em uma edição do podcast Blockworks' Empire. Na minha opinião, vamos nos lembrar disso por seu impacto na forma como o mercado de empréstimos lida com o risco, não apenas pelo valor em dólares perdido.
Ajuste do Mercado de Empréstimos
Após a violação, o protocolo de empréstimo enfrentou uma questão permanente: por que a posição de Michael Egorov permitiu que se tornasse tão grande e potencialmente arriscada? E a pergunta mais importante é: quem deve ser responsabilizado?
O fundador da Euler, Michael Bently, disse no Twitter que o incidente é um exemplo de por que os DAOs - formados por constituintes potencialmente imaturos - podem não ser a melhor escolha quando se trata de gerenciamento de riscos. Na verdade, a Aave DAO, que contratou a empresa de modelagem de risco Gauntlet, parecia ter ignorado os avisos dos avaliadores de risco antes da crise de junho. Por fim, o DAO decidiu manter o parâmetro Aave v2 CRV.
No entanto, Ivan Ngmi, colaborador anônimo da Gearbox DAO, disse em entrevista à Blockworks que um sistema de gerenciamento de risco puramente programático não é necessariamente a melhor opção devido ao grau de interdependência entre diferentes protocolos e seus respectivos preços de token de governança. A Gearbox evitou por pouco os efeitos do hack do pool de mineração CRV/ETH por alguns dias.
Ele escreveu: "Todo protocolo tem que pensar em outros protocolos, permitindo possíveis efeitos em cascata. Se esses protocolos são anárquicos, eles não podem mudar nada, cabe aos usuários desses protocolos".
A situação do CRV é um tanto especial. Nesse caso, os fundadores do protocolo controlam quase todos os tokens em circulação e fazem empréstimos em vários lugares e usam esses tokens como garantia. A governança puramente on-chain dificulta a detecção ou mitigação dessa situação.
No entanto, os sistemas podem ser aprimorados mesmo que não sejam perfeitos. O fundador da Iniciativa Aave-Chan, Marc Zeller, disse em entrevista à Blockworks que uma nova proposta resolverá gradualmente o status de Egorov na v2 em “um quarto”.
“O processo está em andamento e a utilização do pool de CRV acelerou o progresso”, escreveu ele. Além disso, um efeito colateral benéfico do rebalanceamento de posições de Egorov é que o valor total bloqueado (TVL) flui do Aave v2, cujos parâmetros de risco não foram ainda foi totalmente mitigado para o limite de empréstimos, que pode limitar melhor os empréstimos dos superusuários na v3.
Zeller acrescentou: “Em última análise, o risco geral da v2 agora é reduzido e a taxa de adoção da v3 é aumentada, portanto o efeito líquido é positivo.” No mercado, o gerenciamento de risco está sendo feito de maneira diferente. Quando contatado, Yegorov se recusou a comentar, alegando que sua posição está sendo gerenciada.
SELO 911
O fenômeno da "sala de guerra", no qual membros da comunidade e voluntários trabalham com desenvolvedores de protocolos hackeados para tentar mitigar o impacto de uma violação, desempenhou um papel fundamental em muitas recuperações bem-sucedidas recentes. No entanto, tal esforço pode ser repleto de complexidades.
Duas empresas de segurança, Blocksec e Supremacy, sofreram fortes críticas nas mídias sociais depois de divulgar detalhes sobre o processo de exploração de uma vulnerabilidade do compilador Vyper. Robert Chen, da OtterSec, descreveu em um excelente post de blog como duas operações diferentes de chapéu branco foram frustradas em apenas alguns minutos. Neste hack, onde vulnerabilidades persistentes levaram a vários ataques, a publicação de informações sobre exploits poderia ter fornecido aos invasores em potencial informações adicionais que permitiriam que eles passassem por white hats, levando a mais danos.
No entanto, simpatizo com Blocksec, que sente que, sem nenhuma maneira de entrar em contato com a equipe afetada, explicar a falha ao público para que os usuários possam sacar seus fundos é a escolha moral certa.
Em última análise, trazer as pessoas certas para a sala de guerra (sem chamar a atenção de aspirantes a chapéus pretos) pode ser um complicado problema do ovo e da galinha. Após o incidente do Curve, a comunidade pode ter desenvolvido uma possível solução.
O prolífico pesquisador anônimo de segurança da Paradigm, samczsun, anunciou o lançamento de um serviço de resposta "experimental" chamado SEAL 911. O serviço, composto por bots do Telegram, visa conectar equipes recentemente hackeadas com uma equipe de especialistas em segurança e veteranos da sala de guerra. Storm, um colaborador anônimo do Yearn e regular do War Room, disse ao Blockworks em uma entrevista que o serviço visa resolver um ponto problemático de conectá-los com especialistas dispostos a ajudar as equipes afetadas. Storm também é um membro aberto da equipe SEAL 911.
Ele escreveu: "Até então, você precisa de pessoal de segurança confiável em sua rede em caso de incidentes ou emergências... Espero que isso lhe dê uma linha direta de um clique com pesquisadores de segurança experientes em quem podemos confiar."
De acordo com Storm, o serviço já foi usado porque membros do protocolo Cypher baseado em Solana contataram membros do SEAL 911 na segunda-feira, logo após o anúncio do serviço.
Além do mais, o SEAL 911 chega em um momento em que a resposta do chapéu branco provavelmente estará em seu nível mais alto de eficiência. Os negociadores têm garantido o retorno dos fundos da violação desde o hack de Euler.
Em 30 de julho, US$ 71 milhões foram retirados do pool de mineração da Curve. Até agora, 75% do valor foi recuperado por meio de operações e negociações de chapéu branco. Apenas um explorador ainda possui fundos - e mesmo eles estão enfrentando uma pressão crescente na forma de recompensas da comunidade.
Isso pode não oferecer muito consolo aos poupadores que se sentiram presos no pior momento do hack. Mas entre melhorias de protocolo e um momento de solidariedade dentro da comunidade de segurança, o ecossistema DeFi após o ataque Curve parece estar mais saudável do que antes.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
O que vem a seguir para o DeFi após a crise do Curve?
Autor: Andrew Thurman, blockworks Compilador: Shan Ouba, Jinse Finance
Mercados de empréstimos mais inteligentes e equipes de chapéu branco responsivas melhoram a violação pós-curva de segurança do DeFi
O hack do Curve mal chegou ao top 30 de todos os tempos, de acordo com o Global Exploit Loss Leaderboard da Rekt, embora antes que os chapéus brancos e uma coalizão de especialistas em segurança conseguissem recuperar alguns dos fundos roubados. Isso é ainda mais preocupante para a maioria dos observadores. Em primeiro lugar, o Curve é um protocolo de liquidez bem conhecido e uma parte vital do sistema stablecoin.
No domingo, 30 de julho, a equipe do Curve disse pelo menos duas vezes que havia mitigado o impacto do hack, mas outro ataque que causou danos de milhões de dólares sem dúvida causará desconforto.
O dano ao protocolo do ataque pode ser uma consequência preocupante após as várias posições DeFi expressas pelo fundador da Curve, Michael Egorov.
Antes do hack, empréstimos no valor de mais de US$ 110 milhões ficaram repentinamente vulneráveis porque eram respaldados pelo token de governança (CRV) da Curve e tokens de recompensa, que já haviam sido duramente atingidos. Os próprios noticiários se concentraram em analisar as possíveis consequências da liquidação, principalmente a possibilidade de a Aave ser uma vítima.
Eventualmente, no entanto, um grupo forte (embora talvez improvável) de compradores interveio. Eles compraram o CRV em uma transação fora do mercado, permitindo que Egorov se reequilibrasse e pagasse a enorme dívida. No momento em que este livro foi escrito, seu endereço principal tinha pouco mais de US$ 50 milhões em dívidas de stablecoin, com outros US$ 18 milhões em CRV à vista disponíveis para implantação.
Desde que o podcast foi gravado, a saúde da posição de Egorov melhorou, mais fundos voltaram para o protocolo e a Alchemix em particular se recuperou totalmente.
Portanto, gostaria de acrescentar que a resposta da comunidade ao hack e às mitigações de hack parece estar em um novo pico e espero que esse padrão de excelência continue.
De fato, embora alguns possam me acusar de ser muito idealista sobre o hack do Curve enquanto a poeira baixa, há um consenso crescente de que, apesar de vários ataques bem-sucedidos a um dos principais produtos do ecossistema, o ataque, mas o DeFi se tornará mais resistente. Este pode ser um acordo contraditório.
Anteriormente, ponderei sobre como conceitualizamos o impacto desse hack ao longo do tempo em uma edição do podcast Blockworks' Empire. Na minha opinião, vamos nos lembrar disso por seu impacto na forma como o mercado de empréstimos lida com o risco, não apenas pelo valor em dólares perdido.
Ajuste do Mercado de Empréstimos
Após a violação, o protocolo de empréstimo enfrentou uma questão permanente: por que a posição de Michael Egorov permitiu que se tornasse tão grande e potencialmente arriscada? E a pergunta mais importante é: quem deve ser responsabilizado?
O fundador da Euler, Michael Bently, disse no Twitter que o incidente é um exemplo de por que os DAOs - formados por constituintes potencialmente imaturos - podem não ser a melhor escolha quando se trata de gerenciamento de riscos. Na verdade, a Aave DAO, que contratou a empresa de modelagem de risco Gauntlet, parecia ter ignorado os avisos dos avaliadores de risco antes da crise de junho. Por fim, o DAO decidiu manter o parâmetro Aave v2 CRV.
No entanto, Ivan Ngmi, colaborador anônimo da Gearbox DAO, disse em entrevista à Blockworks que um sistema de gerenciamento de risco puramente programático não é necessariamente a melhor opção devido ao grau de interdependência entre diferentes protocolos e seus respectivos preços de token de governança. A Gearbox evitou por pouco os efeitos do hack do pool de mineração CRV/ETH por alguns dias.
Ele escreveu: "Todo protocolo tem que pensar em outros protocolos, permitindo possíveis efeitos em cascata. Se esses protocolos são anárquicos, eles não podem mudar nada, cabe aos usuários desses protocolos".
A situação do CRV é um tanto especial. Nesse caso, os fundadores do protocolo controlam quase todos os tokens em circulação e fazem empréstimos em vários lugares e usam esses tokens como garantia. A governança puramente on-chain dificulta a detecção ou mitigação dessa situação.
No entanto, os sistemas podem ser aprimorados mesmo que não sejam perfeitos. O fundador da Iniciativa Aave-Chan, Marc Zeller, disse em entrevista à Blockworks que uma nova proposta resolverá gradualmente o status de Egorov na v2 em “um quarto”.
“O processo está em andamento e a utilização do pool de CRV acelerou o progresso”, escreveu ele. Além disso, um efeito colateral benéfico do rebalanceamento de posições de Egorov é que o valor total bloqueado (TVL) flui do Aave v2, cujos parâmetros de risco não foram ainda foi totalmente mitigado para o limite de empréstimos, que pode limitar melhor os empréstimos dos superusuários na v3.
Zeller acrescentou: “Em última análise, o risco geral da v2 agora é reduzido e a taxa de adoção da v3 é aumentada, portanto o efeito líquido é positivo.” No mercado, o gerenciamento de risco está sendo feito de maneira diferente. Quando contatado, Yegorov se recusou a comentar, alegando que sua posição está sendo gerenciada.
SELO 911
O fenômeno da "sala de guerra", no qual membros da comunidade e voluntários trabalham com desenvolvedores de protocolos hackeados para tentar mitigar o impacto de uma violação, desempenhou um papel fundamental em muitas recuperações bem-sucedidas recentes. No entanto, tal esforço pode ser repleto de complexidades.
Duas empresas de segurança, Blocksec e Supremacy, sofreram fortes críticas nas mídias sociais depois de divulgar detalhes sobre o processo de exploração de uma vulnerabilidade do compilador Vyper. Robert Chen, da OtterSec, descreveu em um excelente post de blog como duas operações diferentes de chapéu branco foram frustradas em apenas alguns minutos. Neste hack, onde vulnerabilidades persistentes levaram a vários ataques, a publicação de informações sobre exploits poderia ter fornecido aos invasores em potencial informações adicionais que permitiriam que eles passassem por white hats, levando a mais danos.
No entanto, simpatizo com Blocksec, que sente que, sem nenhuma maneira de entrar em contato com a equipe afetada, explicar a falha ao público para que os usuários possam sacar seus fundos é a escolha moral certa.
Em última análise, trazer as pessoas certas para a sala de guerra (sem chamar a atenção de aspirantes a chapéus pretos) pode ser um complicado problema do ovo e da galinha. Após o incidente do Curve, a comunidade pode ter desenvolvido uma possível solução.
O prolífico pesquisador anônimo de segurança da Paradigm, samczsun, anunciou o lançamento de um serviço de resposta "experimental" chamado SEAL 911. O serviço, composto por bots do Telegram, visa conectar equipes recentemente hackeadas com uma equipe de especialistas em segurança e veteranos da sala de guerra. Storm, um colaborador anônimo do Yearn e regular do War Room, disse ao Blockworks em uma entrevista que o serviço visa resolver um ponto problemático de conectá-los com especialistas dispostos a ajudar as equipes afetadas. Storm também é um membro aberto da equipe SEAL 911.
Ele escreveu: "Até então, você precisa de pessoal de segurança confiável em sua rede em caso de incidentes ou emergências... Espero que isso lhe dê uma linha direta de um clique com pesquisadores de segurança experientes em quem podemos confiar."
De acordo com Storm, o serviço já foi usado porque membros do protocolo Cypher baseado em Solana contataram membros do SEAL 911 na segunda-feira, logo após o anúncio do serviço.
Além do mais, o SEAL 911 chega em um momento em que a resposta do chapéu branco provavelmente estará em seu nível mais alto de eficiência. Os negociadores têm garantido o retorno dos fundos da violação desde o hack de Euler.
Em 30 de julho, US$ 71 milhões foram retirados do pool de mineração da Curve. Até agora, 75% do valor foi recuperado por meio de operações e negociações de chapéu branco. Apenas um explorador ainda possui fundos - e mesmo eles estão enfrentando uma pressão crescente na forma de recompensas da comunidade.
Isso pode não oferecer muito consolo aos poupadores que se sentiram presos no pior momento do hack. Mas entre melhorias de protocolo e um momento de solidariedade dentro da comunidade de segurança, o ecossistema DeFi após o ataque Curve parece estar mais saudável do que antes.