カバーがハッキングされました。 DeFi はどのようにしてハッカーの ATM になったのでしょうか?

2021年の新年も近づいてきた今週、夜にCoverがハッキングされたのを目にしました。

何が起こったかというと、ハッカーがcoverと同じ名前の偽のコインを作成し、流動性マイニングを行ったのです。流動性マイニングには通常 LP トークンがあることは誰もが知っています。その後、ハッカーはこの LP TOEKNS を担保として使用し、資金を引き出しました。これにより市場が崩壊し、カバー トークンの価格が急落しました。

問題はまだ終わっていない。事件後、取引所は緊急に引き出しを停止した。この事件はオンラインで広がり続け、Cover の LP TOKENS は崩壊寸前となった。ハッカーが発行したトークンの数が約40兆個とあまりにも多かったため、今回のCoverによる損失は非常に大きいと基本的に判断できます。

Cover は以前は safe という名前で、保険採掘プロジェクトでした。非小規模記録によると、Safe は、ユーザーが yNFT などのトークンを担保にして SAFE トークンを交換できる保険マイニング プロジェクトです。 Yieldfarming は、保険マイニングという新しいタイプの農業を導入します。このプロジェクトの目的は、農家がステークした資産に対して保険を購入し、プラットフォーム上でyNFTの株式を保有するように奨励することです（yinsure.financeを通じて割り当てられます）。代わりに、ステーカーは SAFE を受け取ります。

11月1日にsafeは無効と宣言され、新しいトークンはカバープロトコルになりました。これはブランド構築のプロセスでした。それ以来、カバーは DeFi の焦点となっています。

どちらも分散型保険ですが、 Cover と NexusMutua は異なります。 NexusMutual ユーザーが保険を購入した後、その保険を他の人に譲渡することはできません。 Cover は、CLAIM トークンと NONCLAIM トークンを導入することで、ユーザーが購入したポリシーを取引できるようにし、ユーザーの製品エクスペリエンスを向上させます。このようにして、対応する流動性マイニングも構築できます。さらに、NexusMutual ではユーザーに対して KYC 認証も要求しますが、Cover では当然これは必要ありません。

しかし、今回のCover自身の契約の脆弱性の悪用は、前回のNexusMutualとは少し異なります。 NexusMutual では、創設者のコインがハッカーに盗まれましたが、NexusMutual のスマート コントラクトは比較的安全でした。しかし今回は、Cover 自身の保険契約に脆弱性があり、少し恥ずかしい思いをしました。夕方、ハッカーはCoverの役員に4,350イーサリアムコインを返却し、皮肉な声明を残した。これもまた、人々にスマートコントラクトのセキュリティに対する懸念を引き起こした。

今年はDeFi爆発の年です。 DeFiの台頭は2018年から現在まで3年以上経過していますが、スマートコントラクトのセキュリティの観点から見ると、実際には比較的長期的な進歩です。しかし、現時点ではこれではまだ十分とは言えず、DeFi 契約のセキュリティには依然として継続的な注意が必要です。

Defi には現在、次の主な機能があります。

1. 契約の運用状況は公開され、透明性があります。誰が操作しても、チェーン上でクエリを実行できます。データが不透明で、人々が市場の状況を明確に見ることができない中央集権型取引所とは異なります。

これには一定の利点があります。つまり、資金は一般に公開されており、投資家が調査するのに便利ですが、いったん問題が発生すると、それを隠蔽する方法はありません。例えば、中央集権型取引所が盗まれた場合、資金が大きくなければ、一切公表されません。資金の額が大きい場合にのみ開示されます。 Defi は誰かに開示してもらう必要はありません。誰かが注意を払えば、初めてでも自然に発見できるでしょう。

2.一般的なDeFiプロジェクトの契約コードも公開されている

DeFi プロジェクトは透明性が求められるため、コードが透明でなければユーザーの不信感が高まります。したがって、一般的に言えば、プロジェクト関係者は、監督できるように契約コードの一部または全部を公開する必要があります。

しかし、一般ユーザーにとっては、多くの人がコードを見ないかもしれませんが、仲間や他のハッカーにとっては、これは宝の山であり、彼らはプロジェクトコードを注意深く研究して、対応する抜け穴や裁定取引の方法を見つけ、対応する契約を書いて利益を上げます。

ここで注目すべきは、彼らの中には契約裁定取引を狙っている者もいるということだ。ほとんどの人はそのような人をデフィ科学者と呼びます。彼らの別の部分は、Defi のコードの抜け穴を悪用し、欺瞞的な方法を使用して利益を上げています。私たちは一般的に彼らを DeFi ハッカーと呼んでいます。

これは初期の Linux オペレーティング システムに似ています。 Linux はオープンソース システムです。世界中のオープンソース愛好家のグループによる継続的な更新とメンテナンスを経ても、このシステムが今日でも安全であるとは言えません。 Linux 上のシステムはカスタマイズ性が非常に高いと言えます。ユーザーごとに設定が異なり、ハッカーの行動に対処するための戦略も異なります。 Linux のセキュリティは現在比較的良好ですが、これは長期間にわたる継続的な反復の結果です。 Ethereum スマート コントラクト EVM はまだ比較的新しいため、「進化」するには当然時間がかかります。

＝実際、何であっても資本があり透明性が高ければ、そういった状況は発生します。 Defi は常にハッキングされています。実は、これは現在の開発において必ず経験しなければならない段階です。 Defiはまだ未成熟な段階にあります。この期間はいかなる方法でもスキップできません。主な理由は、この部分は先人たちの経験を取り入れて学ぶことができず、一度に一歩ずつしか進むことができないからです。このように、Defi には当然問題が増えていきますが、長期的な視点で見れば、これは Defi の将来の発展と成熟にとって有益となるでしょう。