این یک آخر هفته پر هرج و مرج برای امور مالی غیرمتمرکز (DeFi) بود، زیرا دو پیشنهاد حاکمیتی خوداجرای دو پروژه معروف را ویران کردند.
پلتفرمهای آسیبدیده Aave، پروتکل برتر وامدهی و استقراض بخش، و Tornado Cash، یک ابزار اختلاط رمزنگاری مورد علاقه طرفداران حریم خصوصی و هکرها هستند.
در زنجیره-حکومت- باعث هرج و مرج-برای-یک-و-تورنادو-نقد
Aave
روز جمعه، یک به روز رسانی به Aave V2 با هدف وارد عمل شد تنظیم کردن محاسبات نرخ بهره بر روی دارایی های خاص در سراسر اتریوم، بهمن و پلیگون.
با این حال، به گفته شرکت امنیتی BlockSec، کد جدید به دلیل قالب بندی تابع ReserveInterestRateStrategy با استقرار Polygon پروتکل ناسازگار بود.
.@AaveAave آخرین ارتقاء ReserveInterestRateStrategy در Aave V2 (Polygon) باعث توقف موقت پروتکل شده و دارایی هایی به ارزش 110 میلیون دلار را تحت تأثیر قرار داده است!
دلیل اصلی این است که ReserveInterestRateStrategy جدید فقط با اتریوم سازگار است، با Polygon سازگار نیست. https://t.co/kg5696QNPo pic.twitter.com/Ze3zSBS8Ck– BlockSec (@BlockSecTeam) 19 مه 2023
بیشتر بخوانید: باگ ارتقای Compound Finance 830 میلیون دلار را در رمزارز مسدود کرد
این خطا منجر به مسدود شدن دارایی های تحت تأثیر (USDT، BTC، ETH و MATIC) شد که در مجموع بیش از 100 میلیون دلار ارزش داشتند. در حالی که وجوه در دسترس نیست، در معرض خطر نیستند و کاربران می توانند موقعیت خود را با سایر دارایی ها افزایش دهند تا از انحلال احتمالی جلوگیری کنند.
همانند گاف مشابه رقیب Compound در سال گذشته، کاربران Aave باید منتظر بمانند ثابت برای عبور از همان فرآیند حکمرانی، که در مجموع طول می کشد هفت روز.
تورنادو نقدی
روز بعد، اخباری مبنی بر حمله حکومتی به Tornado Cash منتشر شد، یک «میکسکننده» که به کاربران اجازه میدهد قبل از برداشتن به یک آدرس غیرقابل ردیابی، وجوه خود را به «استخرهای حریم خصوصی» مشترک واریز کنند.
این حمله به عنوان یک پیشنهاد واقعی به نام “جذبیه ثبت Relayer” پنهان شد که رای DAO را تصویب کرد و اجرا شده در روز شنبه.
در 2023/05/20 در ساعت 07:25:11 UTC، حاکمیت تورنادو Cash عملاً وجود نداشت. از طریق یک پیشنهاد مخرب، یک مهاجم به خود 1200000 رای داد. از آنجایی که این بیش از 700000 رای مشروع است، اکنون آنها کنترل کامل دارند.https://t.co/nY87XmrYgT pic.twitter.com/h9qjc3xRqz
— @samczsun.com (@samczsun) 20 مه 2023
با این حال، مهاجم موفق شد کدی را در بروزرسانی پنهان کند که به آدرس آنها 1.2 میلیون رای اختصاص داد و اساساً به آنها کنترل روی مدیریت پروژه را داد.
این پروتکل به گونه ای طراحی شده است که وجوه موجود در استخرهای حریم خصوصی را هیچکس به جز سپرده گذاران نمی تواند استخراج کند. با این حال، مهاجم میتواند نشانههای حاکمیتی را پس بگیرد (که انجام داد، فروش 410000 TORN برای 430 ETH و شستشو سود از طریق هیچ چیز دیگری جز … تورنادو نقدی).
روز یکشنبه، مهاجم منتشر شده پیشنهاد جدیدی که آسیب وارد شده را بازگرداند و قدرت رای آنها را به صفر برساند.
مهاجم TornadoCash پیشنهاد جدیدی را ارائه کرد که در صورت اجرا، ظاهراً آسیب وارد شده به عملکرد Governance را برمیگرداند. یا در حال ترولینگ گیگا هستند یا در نهایت یک درس پرهزینه اما نه فاجعه بار در امنیت حاکمیت خواهد بود.https://t.co/QMWYFsi8kP
— 0xdeadf4ce (@0xdface) 21 مه 2023
بیشتر بخوانید: خزانه داری آمریکا معامله گران فرابورس را به دلیل کمک به هکرهای لازاروس تحریم می کند
تورنادو کش یک است پروژه تفرقه افکن، برخی ادعا می کنند که این یک سرویس پولشویی است که به هکرها، مجرمان سایبری و گروه لازاروس کره شمالی کمک می کند تا دستاوردهای غیرقانونی را بشویید. دیگران معتقدند که این یک ابزار حفظ حریم خصوصی ضروری برای یک محیط مالی است که در آن هر تراکنش در زنجیره قابل مشاهده است.
آگوست گذشته، خزانه داری ایالات متحده تورنادو کش را تحریم کرد و الکسی پرتسف، توسعه دهنده اصلی آن در هلند دستگیر شد. او بود منتشر شد، در انتظار محاکمه، ماه گذشته.
حاکمیت زنجیره ای
رأی گیری کاملاً زنجیره ای و اجرای خودکار تصمیمات حاکمیتی اغلب به عنوان هدف در DeFi دیده می شود، جایی که نیاز به اعتماد به هر قیمتی اجتناب می شود. با این حال، همانطور که آشوب در Aave و Tornado Cash نشان می دهد، می تواند یک شمشیر دولبه باشد که منجر به عواقب ناخواسته برای دارندگان توکن شود.
از سوی دیگر، با وجود تمام صحبتهایشان در مورد تمرکززدایی، بسیاری از پروژههای «DeFi» اساساً توسط یک تیم اصلی از توسعهدهندگان کنترل میشوند که برای اعمال هر تغییری که توسط دارندگان توکن به آنها رأی داده میشود اعتماد دارند.
نکته ای دارید؟ برای ما ارسال کنید پست الکترونیک یا پروتون میل. برای اطلاع از اخبار بیشتر، ما را دنبال کنید توییتر، اینستاگرام، آسمان آبی، و اخبار گوگل، یا مشترک ما شوید یوتیوب کانال
