DeFi Exploits não podem ser pinados em empréstimos Flash

DeFi Exploits não podem ser pinados em empréstimos Flash, dizem os líderes do setor

Há nove meses, em um centro de convenções de Denver, um estande estava vazio.

A mesa deveria conter os representantes físicos do protocolo de finanças descentralizadas (DeFi) bZx. No entanto, ela permaneceu vazia, enquanto a equipe lutava para dar sentido às forças digitais que torciam seu jovem projeto.

Novos casos não pararam nos meses desde então. Tome novembro: US$ 2 milhões de Akropolis, depois US$ 3,3 milhões do Cheese Bank, seguido por US$ 6 milhões do Value Finance Crypto Cash e finalmente US$ 7 milhões do Protocolo de Origem.
Assine o First Mover, nosso boletim informativo diário sobre mercados.
Ao se inscrever, você receberá e-mails sobre os produtos CoinDesk e concorda com nossos termos e condições e política de privacidade.

Os empréstimos Flash continuam sendo o fio condutor comum de todos esses recentes ataques. Estas ferramentas DeFi-nativas permitem que um investidor experiente obtenha empréstimos sem apoio e acumule alavancagem por trás de uma posição. Por exemplo, o atacante do Protocolo de Origem de segunda-feira tirou um empréstimo de 70.000 ETH da plataforma descentralizada de derivativos dYdX. Ele permitiu que o atacante aumentasse a quantidade de saque sugada para fora do projeto.

No entanto, embora eles possam ser o fio que liga essas explorações, os empréstimos flash não são a causa em si mesmos, disseram os líderes da indústria à CoinDesk.

Manipulação do Oracle e empréstimos relâmpago

Pode até não ser justo caracterizar as recentes explorações da DeFi como „ataques de empréstimo flash“, disse o co-fundador do Chainlink Sergery Nazarov à CoinDesk em um e-mail.

Nazarov disse que os empréstimos instantâneos em sua essência são apenas somas de capital em posições comerciais de sucesso. O verdadeiro problema está nos projetos de DeFi mal construídos.

„Enquanto muitos estão tentando enquadrar esta tendência como resultado de empréstimos instantâneos, a maioria destas façanhas poderia ter sido cometida por qualquer ator bem capitalizado. Tudo o que um empréstimo relâmpago faz é tornar qualquer um temporariamente um ator bem capitalizado“, disse Nazarov.

Leia mais: Tudo o que você sempre quis saber sobre o ‚Flash Loan‘ da DeFi Ataque

Os projetos da DeFi são contratos inteligentes implementados para a cadeia de bloqueio Ethereum. Eles exigem informações externas, ou seja, dados de preços, para executar as ações previstas em cada contrato.

Essas informações sobre preços são passíveis de distorções simplesmente por causa de como a cadeia de bloqueio Ethereum empacota as transações – ou seja, a cada 15 segundos. Os preços podem se mover de todas as maneiras em 15 segundos, o que força contratos inteligentes a agir com base em dados obsoletos.

Além disso, muitas aplicações DeFi dependem de oráculos de preços internos criados por reservas simbólicas, feeds de preços não descentralizados ou outras soluções ad hoc. Por exemplo, o Harvest Finance se apoiou em outro projeto da DeFi, o Curve Finance, para fixar o preço de suas reservas simbólicas.

Em casos como o Harvest Finance, a interoperabilidade se tornou uma dependência negativa. Um empréstimo flash no valor de 50 milhões de dólares desviou temporariamente os preços dos ativos do valor de mercado, criando uma oportunidade de arbitragem. Um projeto que tivesse um sistema de preços mais robusto não teria caído vítima da exploração, diz a teoria.

As auditorias são suficientes?

Outro ponto que os desenvolvedores estão enfrentando é que auditorias de código sozinhas não tornam um projeto DeFi seguro.

Falando com a CoinDesk via Whatsapp, o CEO da Quantstamp, Richard Ma, disse que os desenvolvedores precisam entender os próprios mercados, talvez mais do que o código que eles implantam na cadeia de bloqueio Ethereum. A Quantstamp auditou ou consultou vários projetos DeFi de topo como Curve Finance, MakerDAO e SushiSwap, entre outros.

„Entender os produtos e a lógica comercial é muito mais demorado e importante do que uma revisão direta do código“, disse Ma.

De fato, a Akropolis foi auditada duas vezes por duas empresas separadas, mas ainda assim sofreu um ataque de reentrada.

Este tipo de ataque ocorre quando a porta traseira de um contrato inteligente é deixada entreaberta. O estado do contrato – que registra quantas fichas o contrato tem, entre outras coisas – não se atualiza suficientemente rápido quando as fichas são removidas, permitindo que o atacante movimente mais moedas para fora do que está bem. Não é diferente de um caixa preguiçoso de um banco que continua a garimpar fundos de uma conta com saque a descoberto.