Недоліки безпеки DeFi: YFI протокол зазнав флеш-атаки

На початку 2021 року колишній король Децентралізованих фінансів, протокол Yearn Finance, зазнав флеш-атаки, ставши першим таким інцидентом цього року. Ця подія знову привернула увагу до питань безпеки в Децентралізованих фінансах.

Зловмисники використовують складні операційні кроки, щоб взяти велику суму грошей в термінові позики, а потім здійснюють арбітраж між стратегією DAI в Curve та Yearn. Конкретний процес включає:

1. Позичити велику кількість ETH з кількох платформ
2. Використовуючи ETH, позичте DAI та USDC в Compound
3. Вливання великої ліквідності в пул DAI/USDC/USDT Curve
4. Виведення USDT призводить до дисбалансу в пропорціях пулу
5. Вкладіть DAI в стратегічний пул Yearn і викличте функцію earn
6. Відновити пропорції пулу Curve та зняти з Yearn
7. Множинно повторюйте вищезгадані кроки для отримання прибутку

Ця атака призвела до втрат Yearn Finance у розмірі до десяти мільйонів доларів.

Корінь події полягає не в термінових позиках, а в крихкій ціновій механіці в протоколах Децентралізовані фінанси. Комбінація між YFI та Curve використовує частки LP для визначення ціни, що легко піддається маніпуляціям. Це відображає те, що сучасні розробники DeFi надто прагнуть швидкості та ефективності, ігноруючи суть блокчейну.

На відміну від біткойна, який забезпечує безпеку через загальний консенсус мережі, багато DeFi протоколів покладаються на прості механізми завантаження цін, які не мають ефективної перевірки. Це суперечить децентралізованій природі блокчейну та принципам консенсусу.

В майбутньому розвиток Децентралізованих фінансів повинен дотримуватися духу децентралізації, встановлюючи ціновий механізм, який може бути перевірений будь-ким. Лише через цінові дані, згенеровані багатосторонніми іграми, можна справді забезпечити довготривалу безпеку екосистеми DeFi.