State of DeFi: SYFI Exploit & Lessons From Crypto’s New Wild West

Дълбоко потапяне в експлоатацията на интелигентен договор, което очевидно е направило един търговец на мигновена печалба от 747 ETH – и какво означава това за крипто. 

Това лято индустрията на криптовалути отбеляза възраждане на безразсъдното инвестиране, което е характерно за първоначалния бум на предлагането на монети през 2017 г. DeFi, или децентрализираното финансиране, бързо е прераснало в ниша на стойност милиарди долари – до голяма степен благодарение на атрактивните (но безспорно неустойчив) залагане на доходност, спекулативни пазарни действия и модулна екосистема без вратари.

Екосистемата DeFi включва децентрализирани борси, които, за разлика от централизираните си колеги, нямат политики за листинг или изисквания за проверка, което допълнително поддържа пазарните спекулации. При несъществуващ надзор действителната стойност на много от проектите, изброени на децентрализирани платформи за търговия, естествено е под въпрос. И все пак жадните за печалба инвеститори не са непременно притеснени. Ако токенът има някакъв шум около него (и / или мем потенциал), това може да представлява достоен влак в увеселителен парк, с който да се качите – интелигентни договори с дефекти или не.

Най-новият DeFi "експлоатирам"

Uniswap, водещата децентрализирана борса, се превърна в един от театрите за тази подновена спекулация в крипто пространството. Този конкретен DEX е в центъра на инцидента, разглеждан от OKEx Insights в тази статия. Скорошно "експлоатирам" включваше неясен производен на много желано yearn.finance token (YFI) и очевидно невероятно щастлив, анонимен опортюнист. Потребител на Twitter Усилване твърди, че е събрал 747 ETH чрез експлоатация на грешка в кода за интелигентен договор Soft Yearn Finance (SYFI) по чиста случайност, без предварително знание за споменатата уязвимост. 

Докато претенциите на Amplify остават непроверени, актьор наистина е източил почти цялата ликвидност от пула Uniswap SYFI / ETH по-рано през септември. Печалбата им, разбира се, беше загуба за всеки друг притежател на жетони. Търговията незабавно счупи стойността на 1 SYFI до по-малко от 0,0001 ETH (от почти 0,4 ETH) и CoinGecko показва че цената на SYFI е спаднала под $ 0,001 след експлоата.  

Грешка, експлоатирана в интелигентния договор SYFI, накара цената да спадне. Източник: CoinGecko

Ако се разглежда изолирано, инцидентът не е нищо ново за криптопространството – известно с бързи нараствания и така наречените измамни изходи. Той обаче представлява някои от основните проблеми, преобладаващи в нишата на DeFi, които заслужават по-внимателно разглеждане, откривайки дискусии относно рисковете, присъщи на тази нова вълна от спекулации.

Малко фон

На 30 август проект, известен като Soft Yearn Finance, обяви стартиране на уебсайта си чрез Twitter. Проектът Бяла хартия, публикувана по същото време, подробно описва нова цифрова валута, наречена SYFI. Документът обяснява, че всеки SYFI маркер ще бъде "мек фиксиран" до стойността на споменатия по-горе безумно успешен финансов токен, YFI – т.е. 1 SYFI ще бъде равен на 0,0003 YFI.

Докато изборът за фиксиране на SYFI с YFI беше явно воден от ценовите показатели на последния, механизмът, който осигурява това фиксиране, известен като пребаза, не се разбира от повечето спекуланти и е в основата на дискутирания инцидент.

Популяризиран от друг проект на DeFi, Ampleforth (AMPL), механизмът за пребазиране автоматично балансира предлагането на токени – чрез унищожаване или изсичане на жетони – за поддържане на предварително зададеното фиксиране. Например, ако цената на SYFI падне под фиксатора 0,0003 YFI, токените ще бъдат изгорени, за да подкрепят повишаването на цената, докато кликът не бъде постигнат отново. По подобен начин, в случай на растеж на цените над колчето, ще бъдат изсечени нови жетони, за да се намали предлагането и да се намали цената.

Целият този механизъм е автоматизиран чрез интелигентен договор и докато балансите на токените се колебаят с всяка пребаза, стойността им в долари не се.

Освен това привързване към изключително популярен проект, привлекателността на SYFI е неясна. Съдейки по Soft Yearn Finance Telegram група, обаче имаше достатъчно шум около символа, за да могат търговците на Uniswap и фермерите да добият вълнение. 

Първоначалният успех на SYFI

На 31 август, само ден след пускането на бялата книга, SYFI обяви предпродажно събитие чрез своя Twitter, Раздор и Telegram групи. Приложенията за бял списък за събитието обаче бяха отворени само за една минута на 1 септември, което означаваше, че повечето купувачи са пропуснали предварителната продажба и са купили токена, когато е включен в Uniswap the следващия ден.

Този прилив на търговци доведе до обеми на търговия над 6 милиона долара в рамките на четири часа след списъка, което накара екипа да направи официално съобщение в Telegram и предостави своеобразно обобщение на пътната карта.

Обемът на търговия на SYFI достигна 6 милиона долара само часове след списъка на Uniswap. Източник: Soft YearnFi Announcements Telegram 

Въведете Amplify

Обръщайки внимание на пускането на SYFI беше търговецът и потребителят на Twitter Amplify. В кореспонденция с OKEx Insights, Amplify – който се съгласи да говори при условие за анонимност, използвайки само тяхната дръжка в Twitter поради опасения относно поверителността – заяви, че са узнали за символа SYFI на 2 септември чрез търговски групи, но са пропуснали предварителната продажба.

Усещайки, че токенът ще бъде популярен, анонимният търговец твърди, че е купил SYFI на стойност 0,5 ETH след списъка си Uniswap, продавайки го малко след това за бърза печалба от 1 ETH.

Тъй като първата планирана база данни на проекта се приближи, Amplify твърди, че е забелязал, че много притежатели на SYFI не разбират напълно концепцията. Търговецът заяви:

"По време на пребазирането забелязах, че по-голямата част от притежателите на $ SYFI нямаха представа какво означава пребаза или какво ще се случи. Видях възможност да се кача на базата, да гледам как общността осъзнава новооткритите си жетони (без да осъзнава, че стойността им не се е променила) и [те] ще изкупят цената веднага след това."

Когато Amplify взе още 0,5 ETH токена на стойност SYFI точно преди пребазирането, те очакваха да донесат бърза печалба – не че грешката в кода на пребазирането внезапно ще превърне техните 2 SYFI в 15 551 SYFI, с цена на Uniswap на малко над 747 ETH.

Неуверен дали последващата им сделка за продажба дори ще премине, Amplify имаше секунди, за да реши дали да направи опит за размяна или не. Като се има предвид как рискът е 0,5 ETH и по-малко от $ 50 такси за транзакции, докато наградата е на стойност над $ 250 000 ETH, анонимният търговец взе хазарта и удари продажба, като получи целия ETH стак, държан в Uniswap пула. Цената на SYFI веднага се срина до част от цента.

Отговорът на SYFI

В следващите минути стотинката падна в социалните групи на SYFI. Потребителите осъзнаха, че на практика цялата ликвидност от пула Uniswap е изчезнала и, въпреки че сега притежава много повече SYFI токени, отколкото преди пребазирането, тяхната стойност е спаднала, освен 100%.

По-късно същата вечер екипът на SYFI публикува официално изявление, в което се твърди, че е имало закъснение между пренасочването и актуализирането на цената на Uniswap. Това, комбинирано с недостатък в самото изчисляване на пребазирането, позволи a "злонамерен актьор" за заличаване на по-голямата част от ликвидността на басейна. 

Екипът, преди да заглуши своите канали Telegram и Discord, добавен че ще присъдят a "много голяма сума от ETH" за самоличността на "нарушител (и)."

В кореспонденция с OKEx Insights, анонимен член на основния екип на SYFI и администратор на Telegram канал, известен като "Прежда" описа по-подробно грешката в интелигентния договор: 

"Имаше проблем с кода, при който за определяне на фиксатора беше използвана функция getPar. Разработчикът не е взел предвид корекциите на параметрите си, за да гарантира, че фиксаторът е настроен на 0,0003 YFI. Това доведе до преосмисляне на базата, увеличавайки предлагането със 7 719x."

По-нататък те разкриха, че в договора за преработване липсва "обадете се, за да синхронизирате резерва Uniswap," което води до грешна цена, котирана на децентрализираната борса. 

Следващото съобщение в групата на SYFI Telegram, на 9 септември, подробни планове за възобновяване на проекта с възстановяване на суми за засегнати търговци и ново вливане на ликвидност.

Опортюнист или злонамерен актьор?

Amplify за първи път твърди, че стои зад търговията за източване на ликвидност на 7 септември чрез продължителна Нишка в Twitter в който те се споменават като не "експерт по сигурността или разработчик." Вместо изчислената експлоатация на грешки, за която екипът на SYFI го направи, те твърдят, че току-що са били на точното място в точното време, за да се възползват от ситуацията. Според търговеца недостатъците, довели до около $ 250 000 от тях, са били напълно непознати за тях.  

Мнозина отговориха подкрепително на нишката, заявявайки, че щяха да направят същото, ако бяха в състояние да го направят. Говорейки с OKEx Insights, Amplify каза, че са избрали да станат публични с историята "донесе затваряне" за себе си и тези, които са загубили пари. Търговецът, който повтори желанието си да остане анонимен, добави, че са благодарни за такъв отговор на общността.

На въпрос за версията на събитията на Amplify, Yarn от SYFI каза на OKEx Insights, че други са се опитвали да направят същото и докато някои са успели, Amplify успява да вземе най-големия парче от ликвидния пул.

Ярън също призна, че небрежността от страна на бивш разработчик на проекта е довела до недостатъка на интелигентния договор. Членът на екипа на SYFI заяви:

"В крайна сметка не искаме да бягаме от факта, че това е можело да бъде всеки. Независимо дали е Amplify или някой друг, резултатите остават същите и ние признаваме, че е трябвало да се направи по-задълбочено тестване от страна на нашия разработчик."

Проблеми с DeFi, подчертани от инцидента SYFI

Този инцидент и нарастващият списък с подобни истории пораждат различни опасения относно привидно безсмислените спекулации, които се върнаха в криптовалутното пространство благодарение на бума на DeFi. Те включват:

1. Състезанието за ранно влизане и излизане от проекти – дори тези със съмнителна полезност – преди това донесе огромна възвръщаемост. Това дава малко време за правилно обмисляне на инвестициите.
2. Липсата на бариери, финансови или технически, за да се изброи токен в Uniswap насърчава внедряването на помия и дори откровени измами.
3. Плагиатният код, съчетан с незабавни Uniswap списъци, може да извика a "страх от пропускане" сред инвеститорите, обезсърчаващи надлежната проверка и одита на кода.
4. Въпреки възникващите застрахователни решения, търговците често остават непокрити в случай на загуба.
5. Големите загуби от интелигентни договори и риск от измами могат да доведат до сурово регулаторно ограничаване на целия сектор.

Ранните успехи насърчават спекулациите

Водени от техния пасивен потенциал за генериране на доходи, бързите поскъпвания на цените на жетони като COMP на Compound, YFI на yearn.finance и други помогнаха да се вдъхнови ниво на спекулации, които не са наблюдавани от бума на ICO. Подобно на манията от 2017 г., се появиха голям брой съмнителни проекти заедно с тези, които имат някаква очевидна полезност. Много от тях обаче разчитат на копиран код и много често се използват клонинги на вече клонирани платформи.

Благодарение на модела на пулове на ликвидност на Uniswap, тези, които изброяват нови токени, могат да надуят цената си, като добавят първата ликвидност към нов пул. Ако успеят да създадат прилично ниво на шум от общността – както в последните примери за ХОТ ДОГ, ПИЦА, YMD и други – след това те могат да изхвърлят големи стопанства на закъснели. Практиката, напомняща на схемите на Понци, стана известна като "издърпване на килим" в индустрията. 

Разбира се, като се има предвид, че траекторията на такива проекти първоначално е много нагоре, много спекуланти се опитват да излязат рано на пазара, за да управляват потенциално сметище. Това е самата стратегия, която Amplify твърди, че е внедрила, което е довело до тяхната печеливша търговия преди неуспешната преработка.

В коментарите си към OKEx Insights, Amplify искаше да направи разлика между DeFi и това, което те описват като "aping в шиткойни," което е подобно на хазарта:

"Отнасяйте се с него като с казино. Не влизате в казино с спестяванията си от живота с очакването, че ще го направите голямо. […] Дръжте залозите си много малки, защото реалността на Uniswap търговията с shitcoin изглежда е или да спечелите големи, или да се приберете вкъщи без нищо."

Бързите списъци приканват небрежен или злонамерен код

Гръбнакът на тази подновена спекулативна вълна е децентрализираната борса Uniswap. За разлика от по-традиционните места за търговия с криптовалута, всеки може да добави всеки ERC-20 токен към платформата. Списъците отнемат само минути, изискват минимални разходи (само такси за газ Ethereum) и няма никакъв процес на проверка. 

Това насърчи изброяване и търговия на токени със съмнителна полезност, използваеми интелигентни договори и дори злонамерени бекдори. Виждайки нарастващи обеми на търговия на платформи като Uniswap, централизираните борси от своя страна могат да почувстват натиска да добавят двойки за търговия за чисто нови, неревидирани токени – естествено предизвикващи критики от индустрията.

Наскоро нашумял случай е случаят с вилката Uniswap SushiSwap. Анонимен водещ разработчик на проекта, "Шеф Номи," притежаваше единствения ключ към дела на разработчиците на SUSHI токени. Това им позволи да осребрят около 14 милиона долара на 7 септември, сривайки цената на токена и увреждайки репутацията му.

Докато готвачът Номи е оттогава върна ETH заедно с публично извинение, целият епизод демонстрира колко дива е всъщност тази нова граница.

В още по-нагъл пример, в началото на септември стана ясно, че друг неясен проект, наречен YUNo Finance, всъщност има задна врата в неговия код, който позволява на разработчиците му да сече безкраен брой YUNO жетони. В особено откровено признание, началната страница на уебсайта YUNo Finance съдържа публикация, очевидно от разработчика на проекта. В него те коментират, че различни наскоро стартирали проекти са копирали YUNo "кофти код," която сама беше копирана от SushiSwap. Постът продължава:

"Ако сте се изгорили, добре си научете урока. […] За тези, които се интересуват от функцията „mint ()“. Да, мога да се обадя и да отпечатам пари, както го прави Hotdog."

Много интелигентни договори са напълно неодитирани

SUSHI, YUNO, SYFI и много други неотдавнашни примери подчертават рисковете от търговия с неревитирани, бързани за обмен токени. Тъй като най-ранните купувачи и доставчици на ликвидност често осъзнават най-големите печалби и липсата на вида критерии за листинг, налагани от много от най-големите централизирани борси, токен пазарите могат бързо да се разширят, преди да се извършат задълбочени прегледи на базовия код.

Въпреки че интересът към DeFi е бил нарастващ през 2020 г. през август общата стойност, заключена в интелигентните договори, наистина процъфтява. Съвместно с внезапния възход беше възходът и спадът на първата итерация на Yam Finance (YAM). За броени дни проектът достигна рекордна пазарна капитализация за всички времена от 57 милиона долара, като вдъхнови инвеститорите със собствена стъпка за отглеждане на добива.  

Както се цитира от Коинтелеграф, забележителни индустриални експерти осъдиха YAM около старта му на 11 август. Тейлър Монахан от MyCrypto описа проекта като повратна точка от DeFi "малко диво до направо страшно." Междувременно известният софтуерен инженер, фокусиран върху Биткойн, Джеймсън Лоп призова за социално изключване на тези, които насърчават "нелепо безотговорни финансови продукти."

Подобно на SYFY, YAM има функция за пребазиране и подобно на SYFY, каза, че функцията за пребазиране е неуспешна само няколко дни след стартирането. Приликите не свършват дотук, тъй като и двата проекта първоначално привлякоха големи пазари на Uniswap преди недостатъците на интелигентния договор да доведоха до сривове, принуждавайки втори повторения.  

Сегашният уебсайт на YAM предлага незабавно предупреждение за потребителя. Въпреки това, той може също толкова лесно да говори за голям процент от новите символи, удрящи Uniswap всеки ден: 

"Одити: Няма."

Изскачащото предупреждение на уебсайта на Yam. Източник: Yam Finance. 

В случая на SYFI обаче Amplify предполага, че нещата са били малко по-сложни и умишлени. Amplify каза пред OKEx Insights, че вярва, че грешката SYFI може да е била злонамерена игра от нейните разработчици, за да позволи измама при излизане:

"Все още вярвам, че разработчиците са отговорни за грешката. Един от членовете на екипа, попитан дали ще направят одит, каза: „Одитите са скъпи, ще направят един след това“. Съгласен съм. Одитите са скъпи, но екипът събра 400 ETH в предпродажбата. Трудно е да се повярва, че някога са имали някакво намерение да одитират кода си и съм представил разказа, че е възможно този маркер да е проектиран с тази грешка при пребазирането, за да направи безпроблемна измама при излизане от разработчиците."

Днес в индустрията едва ли липсват професионални одитори. Фирми като Certik и Quantstamp Labs са само две от нарастващия брой на онези, които предлагат услуги за интелигентна договорна сигурност. И двете фирми могат да се похвалят с впечатляващи статистически данни от това, което мнозина биха описали като по-легитимната страна на криптовалутната индустрия.

Certik твърди, че е извършил повече от 220 одита и е прегледал 188 000 реда код. Междувременно Quantstamp Labs се състои от опитен екип, привлечен както от технологичната, така и от финансовата индустрия и е работил с такива като Libra, Ethereum, Polkadot и Hyperledger.

Въпреки че броят на екипите, работещи с експерти по сигурността на интелигентните договори, нараства, много продължават да стартират проекти с неревитиран код. Естествено, тези, които разгръщат умишлено злонамерени протоколи, са сред тях.

Въпреки това, както Yarn предложи, проектите, които се смятат за легитимни, също могат да се откажат от прегледите на кода. Членът на основния екип на SYFI твърди, че желанието за стартиране е повлияло на решението им да останат неодитирани.

Говорейки на POV крипто Каналът на YouTube през февруари 2020 г. Ричард Ма, главен изпълнителен директор на Quantstamp, коментира, че проблемът с неодитираните интелигентни договори е също толкова разпространен днес, колкото през 2017 г.. 

Той заяви, че въпреки че уменията на разработчиците са се подобрили много през последните години, нарастващата сложност на децентрализираните приложения създава нови вектори на атака. Последващите "подреждане" на нови, често неодитирани децентрализирани финансови приложения, призовава за още по-голям риск.

За съжаление дори одитите не са убедителни. Както отбелязва Quantstamp в скорошна публикация в блога, Копнейте, въпреки че е имал своята сигурност прегледани от одиторската фирма през юли актуализира своя код в рамките на месец, пораждайки нови потенциални уязвимости.

Въпреки нарастващия брой експлоати на интелигентни договори в последно време, водещият одитор на Certik на Ethereum, Доминик Теймл, говори оптимистично за текущите усилия за осигуряване на по-голяма сигурност на DeFi по време на беседа на Академията OKEx през май 2020 г .: 

"Никога не можем да бъдем 100% сигурни, че нещо е сигурно. Много съм оптимист обаче, че можем да постигнем гаранции с висока сигурност с подходящите мерки. Обширни и интензивни одити, официална проверка, щедри награди за грешки …"

Експертът по сигурността на интелигентните договори добави, че потребителите винаги трябва да търсят одиторски доклад, преди да ангажират средства по нов протокол.

Защита срещу неизправности при интелигентни договори все още липсва

С DeFi, добивът на ликвидност и децентрализираните борси все още се появяват ниши в по-широката криптовалутна индустрия, броят на експлоатите, "килим дърпа" и интелигентните грешки при договори продължават да растат. Въпреки че са налични застрахователни решения, като Nexus Mutual, Opyn и други, тепърва ще ги виждаме широко разпространени сред спекулантите.

Говорейки на Ковалентен канал в YouTube през май 2020 г. Aparna Krishnan, съосновател на Opyn, заяви, че спекулантите в нишата на DeFi остават неохотни да предприемат предлаганите защити. Предвид експлозията на активността след нейното изявление и факта, че много от онези, които търсят или извличат ликвидност, съмнителни жетони гордо се наричат "дегени" – съкратена форма на думата "изроден" – разбира се, че нещо толкова безопасно и разумно като застраховката не би намерило голяма привлекателност. 

Кришнан заключи: "Не е достатъчно вълнуващо хората да купуват застраховка за нещо подобно."

Усложнява нещата факта, че тези ранни застрахователни решения могат сами да станат жертва на експлоати на интелигентни договори. В началото на август 2020 г. a недостатък в един от интелигентните договори на Opyn позволи на нападателите да излязат с около 370 000 USDC. Някои решения за защита срещу подвизи на интелигентни договори обаче започват да нарастват. Описано от своя основател, Хю Карп, като дискреционно покритие за споделяне на риска, Nexus Mutual в момента предлага на своите потребители повече от 200 милиона долара на стойност покритие – лъвският дял от който е добавен след 13 септември.  

Въпреки че това е малка част от общите загуби поради неуспешен интелигентен договор към днешна дата, това е по-добре от нищо. Любопитното е, че наскоро адвокатът на Frost Brown Todd LLC Джон Вагстър каза на Cointelegraph че Nexus Mutual всъщност предлага покритие за токена YAM, но нямаше купувачи – факт, който показва или липса на осведоменост, или загриженост за управление на риска в пространството.

Как ще отговорят регулаторите?

Непрекъснато нарастващият общ размер на загубените средства за злоупотреби или злоупотреби със сигурност ще навлезе на световните финансови регулатори, които вече са наблюдавайки внимателно индустрията.

В скорошна статия за OKEx Insights обсъдихме позицията на регулаторите, която досега заемаха към сектора, като се позовахме на случая с DEX EtherDelta, който през 2018 г. Американската SEC счита, че работи като нерегистрирана борса. Решението последва доклад на агенцията относно децентрализираната автономна организация DAO, който установени че определени цифрови валути трябва да се считат за ценни книжа. 

Многобройни скорошни решения, като например аварийно задържане срещу компанията за социални съобщения Telegram, показа, че в крайна сметка агенцията е готова да отстъпи твърдо срещу предложенията на ICO. Изглежда само въпрос на време да започне да разглежда и проектите DeFi.

Говорейки с OKEx Insights, Кристи Суорц, управляващ партньор в Swartz, Binnersley & Съдружници, под въпрос дали регулаторите в крайна сметка ще държат разработчиците на интелигентни договори отговорни за загуба на инвеститорски средства чрез експлойти. Тя добави:

"По подобен начин трябва да се обмисли управлението – кой регулатор може да участва, на кое приложимо право разчита договорът?"

Суорц също спекулира дали агенциите изобщо ще могат да предложат защита за уязвимости в кода. Въпреки това регулаторите се доближават до индустрията, тя препоръчва тези, които използват децентрализирани финансови протоколи, винаги да проучват интелигентен договор, преди да ангажират средства за него.

DeFi е по-рисков от ICO?

Подобно на ICO преди тях, последната тенденция на отглеждане на добив в DeFi насърчи нова вълна от поемане на риск и спекулации. Докато ICO – дори измамите – като цяло имаха подобие на легитимност около себе си, повечето протоколи на DeFi са анонимни, открито плагиатски и незабавно изброени на децентрализирани борси в отсъствието на вратари.

Въз основа на предишни ценови показатели и атрактивни пасивни потоци от доходи, участниците на пазара усещат натиска да "купи сега и задавай въпроси по-късно." В резултат на това цените на жетоните с бекдор и експлоатационен код често завършват стремително нагоре, създавайки мощен стимул за лошите актьори да използват уязвимости или за разработчиците да изтеглят пословичния килим. Този риск да се събудите, за да откриете, че всичките ви пари са изчезнали един ден, не е толкова разпространен при ICO.

Като се има предвид това, част от отговорността със сигурност трябва да лежи върху плещите на тези, които бързат да използват и се опитват да се възползват от тези чисто нови, неодитирани финансови протоколи.

Фактът, че SYFI v2 стартира на 12 септември – и според CoinGecko, е привлякъл още 2,2 милиона долара обем на търговия само девет часа след рестартирането – показва, че мнозина разбират рисковете, но все пак решават да ги поемат.

Предвид големите суми пари, загубени поради неуспешни интелигентни договори, нарастващите обеми на търговия на децентрализирани борси и нарастващия брой откровени измами в индустрията, изглежда само въпрос на време регулаторите отново да засилят усилията си за защита на инвеститорите.

Регулаторно ограничаване помогна да се сложи край на манията на ICO след бума през 2017 г. и е справедливо да се предположи, че подобна съдба очаква сектора DeFi.

OKEx Insights представя пазарни анализи, задълбочени функции, оригинални изследвания & подбрани новини от крипто професионалисти.