Взломы DeFi на Binance Smart Chain растут по мере увеличения TVL и объемов

Интеллектуальная цепочка Binance, или BSC, была запущена в сентябре 2020 года в качестве параллельного блокчейна к цепочке Binance. Это позволило создать смарт-контракты и механизм ставок для собственного токена обеих блокчейнов, Binance-coin">Binance Coin (BNB).

За короткое девятимесячное существование на нем было построено множество проектов децентрализованного финансирования, или DeFi, но также было множество случаев взлома протоколов блокчейна.

Последняя жертва в серии подвигов-Спартанский протокол. Платформа ликвидности для синтетических активов стала объектом атаки, которая привела к потере 30 миллионов долларов для протокола 2 мая. По данным компании по безопасности блокчейна PeckShield, взлом позволил злоумышленникам завышать баланс определенного пула ликвидности и сжечь токены поставщика ликвидности для значительного количества крипто в пуле. Это также называется атакой на флэш - кредит.

Cointelegraph обсудил первопричину этого взлома с Майклом Перклином, главным сотрудником по информационной безопасности крипто-торговой платформы ShapeShift, который сказал: "Основной причиной взлома Spartan, по-видимому, была ошибка в заказе операций в смарт-контракте", добавив::

"То, как были запрограммированы контракты Spartan, некоторые операции выполнялись после обновления ликвидности пула, а не раньше, что позволило злоумышленникам контролировать цену токенов в пуле на основе их депозитов."

По данным Rekt, взлом протокола Spartan является шестым по величине взломом DeFi в истории домена. Три из шести лучших взломов по стоимости, которые были использованы, имели место в протоколах на BSC, а два других - это взломы на Uranium Finance и Meerkat Finance. В дополнение к этим взломам, даже протокол top Define на BSC, PancakeSwap и Cream Finance использовались для фишинговых атак с целью кражи денег.

В результате взлома Uranium Finance 28 апреля с автоматизированной платформы маркет-мейкера было украдено 50 миллионов долларов. Хакер использовал ошибки в логике модификатора баланса Урана, чтобы увеличить баланс проекта в 100 раз. Это был второй взлом на платформе в быстрой последовательности. Первый был 10 апреля, когда хакер украл 1,3 миллиона долларов из протокола. Из-за этого взлома протокол перешел на итерацию кода v2.

В эксплойте Meerkat Finance пользователи потеряли 31 миллион долларов на платформе из-за предполагаемого вмешательства разработчиков. Вытягивание ковра-это тип мошенничества с выходом, когда на децентрализованном рынке поддержка пулов ликвидности отнимается у рынка.

Отсутствие должной осмотрительности и децентрализации

BSC-это цепочка, совместимая с виртуальной машиной Ethereum, что означает, что сеть по существу использует логику, аналогичную блокчейну Ethereum. Однако главное отличие заключается в децентрализации. BSC довольно централизован и использует алгоритм консенсуса полномочий, подтверждающих участие.

Вместо того, чтобы иметь валидаторы по всей сети — как в случае с Ethereum — BSC имеет 21 валидатор, который выбирается из сети и отвечает за работоспособность сети и обязанности по проверке. Наличие только 21 валидатора в сети делает ее высоко централизованной по сравнению с другими блокчейнами.

Трилемма блокчейна, термин, придуманный соучредителем Ethereum Виталиком Бутериным, описывает невероятность того, что блокчейн получит все три следующих свойства: децентрализацию, безопасность и масштабируемость. По сути, это означает, что улучшение одного из этих трех аспектов будет означать, что два других в какой-то степени будут скомпрометированы.

Таким образом, поскольку BSC, по-видимому, компрометирует аспект децентрализации, это также потенциально означает, что должно быть несколько точек сбоя, которые хакеры хотят использовать. Мари Татибуэ, директор по маркетингу Gate.io — биржа торговли криптовалютами, — сказал Cointelegraph, - Централизованные биржи и проспекты намного более рискованны, чем их децентрализованные аналоги, из-за присущей им структуры. Децентрализованная система распределяет свои риски по всей сети и уменьшает структурные недостатки."

Поскольку BSC является общедоступной инфраструктурой без разрешений, она позволяет разработчикам создавать и развертывать протоколы DeFi с нулевой цензурой. Таким образом, бремя понимания рисков, связанных с протоколами DeFi в сети, лежит еще больше на пользователях. Мартин Гаспер, аналитик — исследователь CrossTower-биржи цифровых активов — рассказал Cointelegraph:

"Ключевым соображением для протоколов BSC является то, что они относительно новые по сравнению со многими известными протоколами Ethereum DeFi, которые выдержали испытание временем и множество проверок их кода. Новые проекты на BSC также могут иметь свой код, написанный менее опытными разработчиками, что создает дополнительные риски для пользователей, вносящих в них криптографию."

Несмотря на то, что в вышеупомянутых взломах смарт-контракты протоколов DeFi были подделаны и использованы, это на самом деле не отражает присущие уязвимости безопасности сети BSC. Cointelegraph обратился к финансам, чтобы понять, как он относится к этим взломам. Отказавшись комментировать конкретные взломы, представитель биржи сравнил их с ранними стадиями Ethereum inDeFi, которые возложили ответственность на пользователей. Представитель Министерства финансов сказал:

"Во время бума ICO в 2017 году несколько ICO и проектов, построенных на вершине Ethereum, были мошенниками, и многие из них были уязвимы для атак; это не означает, что блокчейн Ethereum имел уязвимости в области безопасности, это просто указывало на недостаточную осведомленность инвесторов, которые стали жертвами нарушений безопасности проектов. Новые розничные пользователи не оценили свои риски должным образом."

Тем не менее, ConsenSys Labs, блокчейн-технологическая компания, которая поддерживает инфраструктуру Ethereum, поддерживает страницу "Лучшие практики смарт-контрактов Ethereum", на которой перечислены различные известные атаки и другие важные аспекты смарт-контрактов, развернутых в сети. Однако для BSC такая страница не поддерживается.

Татибуэ далее высказал мнение, что "отсутствие должной осмотрительности" вызвало эти взломы в связи с централизованным характером BSC. "Они каждую неделю освещают сотни проектов. Из-за их централизованного подхода у них просто нет рабочей силы, необходимой для проведения необходимой проверки." Она также отметила, что Uranium Finance даже не раскрыла, какая фирма провела аудит своего кода, что само по себе должно было стать серьезным красным флагом.

Рост BSC из-за платы за газ на Ethereum

В последние месяцы Ethereum столкнулся с проблемой высоких сборов за газ. Из-за этого несколько пользователей были вынуждены отказаться от использования приложений DeFi в сети. Для сравнения, BSC, благодаря своей централизованной природе, имеет значительно более низкие сборы за газ и более быстрое время блокировки, чем Ethereum. Плата за газ Ethereum уже превысила 300 гвей в мае после берлинского хардфорка, который якобы снизил цены на газ. Для сравнения, плата за газ BSC чрезвычайно мала, а средняя цена на газ в настоящее время составляет 6,6 гвт.

Именно эта разница в ценах на газ привела к появлению в этой сети нескольких протоколов DeFi и розничных инвесторов. Представитель Министерства финансов далее прокомментировал это: "Разработчики могут меньше беспокоиться о затратах и больше сосредоточиться на инновациях. Более высокая скорость транзакций и низкие транзакционные издержки ускорили его полезность с момента запуска в прошлом году."

9 мая ежедневные транзакции BSC достигли своего рекордного максимума в 9,7 миллиона, а ежедневные транзакции Ethereum также достигли своего рекордного максимума в 1,7 миллиона в тот же день. Это почти в шесть раз больше транзакций на Ethereum. Это признак растущего внедрения сети BSC, поскольку все больше протоколов DeFi продолжают использовать ее. Однако, сравнивая эти две сети, Гаспер высказал свое мнение:

"Похоже, что в BSC относительно мало инноваций, так как многие проекты в сети смоделированы по образцу лучших протоколов DeFi на Ethereum. Кроме того, Ethereum имеет более широкий набор продуктов и больше разработчиков, работающих над ним и продуктами для него, по сравнению с BSC."

Общая стоимость locked, или TVL, в сети BSC в настоящее время составляет почти 46 миллиардов долларов, что на 60% больше, чем TVL в размере 28,6 миллиарда долларов всего месяц назад. По мере роста внедрения BSC крайне важно, чтобы пользователи были осторожны и проводили тщательные исследования, прежде чем инвестировать в протоколы, размещенные в сети, из-за его централизованного подхода и отсутствия надлежащей должной осмотрительности.