Rejoignez-Nous sur

Analyse de l'attaque bZx, des vulnérabilités DeFi, de l'état des cartes de débit dans Crypto et d'autres nouvelles Crypto

0*imq98HeHKepLcgkO

News

Analyse de l'attaque bZx, des vulnérabilités DeFi, de l'état des cartes de débit dans Crypto et d'autres nouvelles Crypto

Coinbase

Coinbase Autour du bloc met en lumière les problèmes clés de l'espace cryptographique. Dans cette édition, nous analysons l'attaque bZx, découvrons certaines vulnérabilités de DeFi et discutons de l'état des cartes de débit en crypto. Nous incluons également des commentaires sur des reportages notables, avec des articles de presse supplémentaires organisés au cours des dernières semaines.

Analyse des vulnérabilités bZx Attack et DeFi

DeFi apporte des outils financiers sur Internet d'une manière qui les rend accessibles, programmables et utiles pour tout le monde. À quel point Internet a facilité la création, le partage et la programmation d'informations pour quiconque, DeFi fait de même pour l'argent et les finances.

Les produits DeFi sont sans confiance, globaux (accessibles à tous), transparents (tout le monde peut inspecter le code) et immuables (ne peuvent être modifiés que s'ils sont programmés pour). Ils sont également composables les uns avec les autres, où les produits peuvent être construits les uns sur les autres, de la même manière que les briques Lego peuvent être combinées en quelque chose de plus grand que la somme de leurs parties.

La mise en scène

Il s'agit d'un nouvel environnement. N'importe qui peut programmer des financements. Le résultat est aujourd'hui un réseau d'outils financiers liquides et puissants, un nouveau terreau pour l'innovation et l'utilité. Par exemple, DeFi a créé quelque chose appelé Prêt Flash – essentiellement un prêt sans risque où n'importe qui peut emprunter des millions de dollars pour la durée d'une seule transaction. Si, à la fin de la transaction, vous n'avez pas remboursé le prêt, la totalité de la transaction est annulée. Aucun capital n'est exposé au risque et tout utilisateur final est en mesure de déployer une grande somme de capital à des fins arbitraires.

Que s'est-il donc passé avec les attaques bZx?

BZx (alias Fulcrum) est un produit DeFi qui fournit une plate-forme symbolique d'emprunt / prêt et de négociation de marge. N'importe qui peut ajouter du capital au pool de bZx et emprunter sur son capital, ou tirer parti à long ou court terme en négociant sur d'autres actifs sur marge. Leur plate-forme utilise de nombreux autres protocoles DeFi pour fournir un service complet à ces produits, tirant parti de la composabilité de DeFi.

L'attaque en son cœur était une transaction unique et incroyable qui a emprunté des millions de dollars dans un prêt flash, et a utilisé ces fonds via plusieurs protocoles DeFi pour manipuler et exploiter avec élégance le pool de garanties de bZx. Regarde ça:

  1. L'attaquant a emprunté 10 millions de dollars d'ETH grâce à un prêt flash de DyDx (Lego # 1), ne présentant aucune garantie dans le processus.
  2. A utilisé 5 M $ en ETH pour prendre une position courte 5x sur le livre ETH-wBTC sur bZx (Lego # 2). BZx a transmis la commande à KyberSwap (Lego # 3), qui a sondé le meilleur taux possible et a finalement rempli la commande le Uniswap (Lego # 4). Cela a entraîné un glissement important et fait grimper le prix wBTC d'Uniswap 3 fois plus.
  3. Transporté les 5 M $ restants en ETH à Composé (Lego # 5), et a emprunté une pile de wBTC contre la garantie ETH.
  4. Utilisé ce wBTC emprunté pour vendre au prix gonflé d'Uniswap
  5. En utilisant les bénéfices de l'étape 4 et le produit de l'étape 2, le prêt flash a été payé en totalité, la transaction a été menée à bien.

Cette manœuvre s'est traduite par un bénéfice direct de 71 ETH, ainsi qu'un prêt actif sur composé d'une valeur de 1200 ETH, pour un bénéfice net de 1271 ETH (d'une valeur de 355 000 $ à l'époque). La transaction a également abouti à un prêt bZx actif qui est profondément sous l'eau, d'où vient la «perte».

Le mécanisme clé a été la capacité de prendre une position courte de 5x sur un livre peu négocié (ETH-wBTC) qui a subi un glissement important. BZx a été conçu pour se protéger contre cela, mais l'attaquant a trouvé un bug intelligent qui contournait ces vérifications. Cette omission a exposé le pool de garanties bZx à des pertes importantes, tandis que toutes les autres briques lego de ce processus ont fonctionné comme prévu et n'ont subi aucune perte. Pour en savoir plus, Peckshield fournit une excellente ventilation ici.

Les suites et la 2e attaque

Immédiatement après l'attaque, l'équipe bZx a utilisé ses super-clés d'administration pour suspendre le trading et l'emprunt sur bZx, et corrigé le bogue sous-jacent. Alors que la communauté discutait de ce nouvel exploit et que les échanges et les emprunts reprenaient, une deuxième attaque s'est produit par un mécanicien similaire.

Cette deuxième attaque était similaire à la première, mais ne nécessitait pas de contourner les règles de glissement. Au lieu de cela, un prêt flash a été utilisé pour gonfler Synthetix USD à 2 $ (au lieu de 1 $), et l'attaquant a ensuite déposé des sUSD en bZx en garantie (à ce prix gonflé) pour emprunter plus d'ETH que ce qui aurait dû être autorisé. Ils se sont ensuite enfuis avec les fonds empruntés sans intention de rembourser le prêt sous-marin bZx, compensant l'attaquant 2378 ETH (après avoir remboursé le prêt flash), d'une valeur de 630 000 $ à l'époque.

Cette attaque s'apparentait plus à un attaque d'oracleou un processus qui manipule une valeur de confiance. Dans ce cas, le prêt flash a fait grimper le prix au comptant des ETH-sUSD sur Uniswap (le oracle), que BZx a utilisée pour déterminer la valeur des garanties dans les prêts.

Comment penser la sécurité dans DeFi?

DeFi a créé de nouveaux produits financiers puissants, les tissant ensemble de manière émergente. Mais ces attaques rappellent que la finance programmable est toujours programmable et que des bugs sont donc attendus – en particulier lorsque l'innovation repousse les limites du possible. Aujourd'hui, la combinaison de prêts flash et d'un réseau de protocoles DeFi composables qui interagissent de manière complexe ont créé cette nouvelle classe de vulnérabilités.

Historiquement, une fois qu'une nouvelle classe de vulnérabilités a été découverte, elle génère une série d'attaques de copie. Tout le monde prend note des nouvelles possibilités et un million de loupes cherchent dans l'espace des faiblesses similaires. À cette fin, nous devrions nous attendre à davantage d'attaques oracle de type prêt flash (et en fait, depuis la rédaction de cet article une autre attaque sur curve.finance a été découvert). Mais ce n'est qu'une partie de la façon dont DeFi devient plus résilient.

Par exemple, après le hack DAO en 2016 a démontré vulnérabilités de réentrance, nous avons rapidement appris comment l'empêcher. Aujourd'hui, les attaques de réentrance sont pratiquement inexistantes. Il s'agit en fin de compte d'une fonction de mise en forme évolutive où les vulnérabilités sont découvertes, rapidement corrigées et l'espace est de plus en plus durci contre les attaques.

Nous ne devons pas nous attendre à ce que DeFi devienne complètement sécurisé contre toutes les attaques, mais nous pouvons construire un écosystème de plus en plus robuste avec Défense en profondeur, où plusieurs couches de redondance offrent une sécurité accrue. Nous devons également développer des niveaux plus élevés de protection et / ou d'assurance des consommateurs. Notamment, un produit d'assurance DeFi fabriqué son premier versement suite aux attaques bZx, un signe encourageant.

Qu'en est-il de la décentralisation dans DeFi?

L'équipe bZx a utilisé des clés de super-administrateur pour arrêter l'emprunt et le trading, démontrant un seul point de contrôle. Cela était nécessaire pour empêcher des attaques supplémentaires de drainer l'ensemble du pool de garanties, mais cela introduit également un nouvel élément de risque – que faire si ces clés sont utilisées à mauvais escient? Et s'ils sont compromis? La suppression du contrôle par une seule partie est au cœur de la philosophie de la crypto-monnaie. Que devrions-nous faire de ça?

La réalité est que la décentralisation est un spectre, et les équipes devraient chercher à suivre une feuille de route décentralisation progressive. Pour les nouveaux services DeFi, nous ne devons pas nous attendre à une décentralisation complète dès le premier jour car cela crée un risque existentiel si des exploits sont découverts et nous ne pouvons pas réagir rapidement. Au lieu de cela, les protocoles devraient évoluer vers des niveaux croissants de décentralisation au fil du temps, et seulement après avoir démontré un historique de bonne hygiène de sécurité. Le composé est un exemple notable.

Plats à emporter

En fin de compte, DeFi repousse les limites de ce qui est possible, ouvrant la voie à de nouveaux produits qui incarnent la nature de la finance programmatique. C'est très excitant de voir ces produits émerger, mais aussi préoccupant lorsque les exploits se répandent dans l'industrie. Prenons une vue holistique du processus – d'autres attaques se produiront, mais cela fait partie de la fonction évolutive de fitness. En fin de compte, un écosystème robuste doté de solides protections des consommateurs devrait voir le jour.

État des cartes de débit dans Crypto

«Dépenser» est un verbe important pour la conduite d'utilitaires en crypto depuis que Satoshi a écrit le livre blanc Bitcoin. Les investisseurs en cryptographie ont toujours cherché des moyens de dépenser leurs actifs de cryptographie pour un café au café local. Et à cette fin, les cartes de débit cryptographiques sont considérées comme une excellente option car elles sont en grande partie identiques aux cartes de débit traditionnelles, sauf qu'elles débitent un solde cryptographique au lieu d'un compte bancaire traditionnel.

Histoire

Les cartes de débit ont une histoire riche en tentatives, y compris chez Coinbase via notre première carte de débit Coinbase, introduite pour la première fois en novembre 2015. Cette carte était la première du genre et a donné à nos clients la possibilité de dépenser leurs soldes Bitcoin Coinbase n'importe où Le visa a été accepté. Le mauvais côté? Ce n'était pas un produit de marque Coinbase, car il a été émis via le processeur de paiement Shift.

Nous avons été suivis par BitPay, Bitwala, Wirex, Coinsbank, entre autres. Au milieu de la frénésie des ICO 2017, plusieurs autres sociétés ont proposé des produits et des plateformes centrés sur une carte de débit cryptographique. Notamment TenX, Carte à jeton (rebaptisé Monolith), et Monaco (maintenant crypto.com). TenX a levé 80 millions de dollars via ICO en 7 minutes, et Token Card et Monaco ont également encaissé 12,7 millions de dollars et 27 millions de dollars respectivement, démontrant le battage médiatique autour des offres de cartes de débit cryptées. Ces entreprises essayaient principalement de se différencier grâce à des frais moins élevés, à une meilleure expérience utilisateur et à certaines offres de récompenses.

Le problème? À l'époque, seuls quelques processeurs de paiement étaient prêts à émettre des cartes de débit, notamment Shift (notre carte) et WaveCrest (la plupart des autres). Une autre était l'adoption. Notre carte a trouvé une traction relativement limitée, car nous avons constaté que la plupart des utilisateurs préféraient en fait détenir Bitcoin plutôt que de le dépenser, avec la volatilité de Bitcoin et la perception de Bitcoin comme un investissement plutôt qu'une devise étaient des contributeurs sous-jacents. Aujourd'hui, avec un écosystème plus mature et l'avènement des pièces stables, nous pensons qu'une offre de carte de débit holistique est susceptible de trouver une plus grande traction.

En 2019, Shift a fait pivoter ses activités et a changé de nom pour Aptoet nous avons travaillé à la mise en œuvre d'une nouvelle carte de débit Coinbase pour le Royaume-Uni. Pour la plupart des autres cartes, janvier 2018 a porté un coup fatal à VISA a abandonné WaveCrest citant «le non-respect de (leurs) règles de fonctionnement», fermant efficacement ces autres cartes de débit cryptographiques.

À l'avenir, les cartes de débit cryptographiques retrouveront probablement une traction nouvelle, en particulier avec l'émergence de pièces stables récompensées (comme USDC à 1,25% APY sur Coinbase). De plus, Coinbase est juste devenu un Membre partenaire principal Visa, un moment décisif qui nous permet d'émettre des cartes de débit dans l'UE sans avoir besoin d'une banque sponsor.

Coups rapides: Commentaire sur des nouvelles notables

La mise à jour Contentious Ethereum (ProgPow) enflamme la communauté

Au cours du mois dernier, Ethereum a été impliqué dans un débat sur la gouvernance autour d'une proposition de mise à jour de leur processus minier. Appelée ProgPow pour une preuve de travail progressive (PoW), la proposition vise à faciliter l'extraction d'Ethereum par du matériel de consommation (GPU), réduisant l'efficacité des ASIC (puissants ordinateurs spéciaux qui dominent l'exploitation minière aujourd'hui).

L'adoption de ProgPow rendrait l'exploitation minière plus accessible à un plus grand nombre de personnes, augmentant théoriquement la décentralisation d'Ethereum et marquant un retour à sa vision initiale résistante à l'ASIC.

Le problème? Cela s'avère être une proposition très controversée et un sujet très nuancé. Pour commencer, ProgPow réduirait la quantité de puissance de calcul utilisée pour sécuriser le réseau (les GPU sont beaucoup moins puissants que les ASIC), rendant théoriquement Ethereum plus sensible aux 51% attaques. De plus, aucun algorithme d'exploration de données n'est vraiment résistant à l'ASIC. Des ASIC spécialisés seraient éventuellement créés pour ProgPow également, et beaucoup pensent que les ASIC sont fondamentalement nécessaires pour sécuriser les réseaux PoW (aucune pièce ASIC n'a jamais été attaquée à 51%).

De plus, toute fourchette controversée doit être manipulée avec beaucoup de soin. Beaucoup plus est en jeu aujourd'hui par rapport à 2017, et l'introduction par DeFi d'actifs du monde réel comme USDC ou USDT pourrait réduire la capacité d'Ethereum à exécuter avec succès des fourches litigieuses.

Après une longue histoire, ProgPow a été accepté fin février et prévu pour être inclus, mais le tollé qui a suivi de la part de la communauté a conduit à une nouvelle mise en suspens de la proposition.

Il y a encore beaucoup à dire:

La blockchain alimentant Steemit, un agrégateur de nouvelles sociales de type Reddit, a récemment annoncé un Partenariat avec Tron pour migrer leur plateforme vers la blockchain Tron. La communauté Steem était préoccupée par le fait que la Fondation Tron détenait désormais trop d’autorité en matière de gouvernance et a agi rapidement pour promulguer une fourchette souple désactivant les droits de gouvernance de Tron.

En réponse, Tron a travaillé avec plusieurs grands échanges, dont Binance et Huobi, pour adopter un hard-fork séparé pour rétablir leurs droits de gouvernance et geler les jetons des membres de la communauté impliqués dans la gouvernance de Steem. La communauté Steem considère cela comme une tentative de prise de contrôle hostile par Tron.

Steem lui-même est un Preuve de participation déléguée (dPOS), et donc les dépôts des clients des grandes bourses étaient essentiels pour obtenir les votes nécessaires pour adopter la fourchette de Tron. CZ de Binance admis il a personnellement signé le hard-fork de Tron, mais n'était pas au courant des problèmes litigieux et a depuis reproché à Tron d'avoir agi de mauvaise foi.

C'est un autre élément de preuve que la gouvernance de la blockchain est difficile. D'une part, la politique sur les chaînes dPOS est claire – le vote majoritaire l'emporte. Tron a simplement vaincu la communauté en respectant les règles politiques établies. D'autre part, les blockchains tirent de la valeur de leurs utilisateurs qui détiennent finalement le pouvoir économique. Les membres de la communauté Steem sont frapper en arrière de diverses manières, en désactivant leurs applications, en démissionnant de la fondation Steem et en soutenant les valideurs privilégiés par la communauté.

De plus, le rôle des échanges et des dépositaires dans la gouvernance de la blockchain est renforcé. Ils détiennent la majorité des actifs, conférant un pouvoir politique important. À mesure que l'espace mûrit, nous devrions nous attendre à ce que les plateformes centralisées fournissent des outils de gouvernance, tout comme Coinbase Custody fait pour MakerDAO aujourd'hui.

Points à retenir rapides

Les blockchains sont des technologies transformatrices, mais ce ne sont fondamentalement que des expériences informatiques massives auxquelles nous participons tous. Personne ne possède ces réseaux, ils appartiennent à la communauté collective qui construit et utilise les technologies, et ces moments sont des preuves essentielles pour l'évolution de la gouvernance de la blockchain. Pour Ethereum et Steem, d'importants précédents sont en train d'être créés et nous devons tous y porter une attention particulière.

Actualités Crypto pertinentes au cours des dernières semaines

Nouvelles de l'industrie de la cryptographie

Nouvelles des nouvelles entreprises de cryptographie





Traduction de l’article de Coinbase : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top