Безопасность Децентрализованных финансов: протокол YFI подвергся флеш-атаке займа

В начале 2021 года прежний король Децентрализованные финансы Yearn Finance Протокол подвергся флеш-атака займа, став первым таким инцидентом в этом году. Это событие снова привлекло внимание к вопросам безопасности в Децентрализованные финансы.

Атакующий использует сложные шаги, чтобы занять большое количество средств через Срочные займы и проводить арбитраж между пулом стратегий DAI Curve и Yearn. Конкретный процесс включает в себя:

1. Заимствовать большое количество ETH с нескольких платформ
2. Используйте ETH для займа DAI и USDC в Compound
3. Влить大量 ликвидности в пул DAI/USDC/USDT Curve
4. Из-за вывода USDT происходит нарушение баланса в пуле
5. Внести DAI в стратегический пул Yearn и вызвать функцию earn
6. Восстановить пропорции пула Curve и вывести средства из Yearn
7. Повторяйте шаги выше несколько раз для получения прибыли

Эта атака привела к убыткам Yearn Finance в размере до десяти миллионов долларов.

Корень проблемы не в срочных займах, а в уязвимой ценовой механике в протоколах Децентрализованных финансов. Комбинация между YFI и Curve использует доли LP для определения цены, что легко поддается манипуляциям. Это отражает то, что текущие разработчики Децентрализованных финансов слишком стремятся к скорости и эффективности, игнорируя суть блокчейна.

В отличие от биткойна, который обеспечивает безопасность через консенсус всей сети, многие Децентрализованные финансы полагаются на простые механизмы загрузки цен, не имея эффективной верификации. Это противоречит децентрализованной природе блокчейна и принципу консенсуса.

Будущее развития Децентрализованных финансов должно основываться на духе децентрализации и создавать ценовые механизмы, которые могут быть проверены любым человеком. Только ценности, созданные на основе многопользовательской игры, могут действительно обеспечить долгосрочную безопасность экосистемы DeFi.