Централизованный DeFi-маразм
24 апреля, 2020
Как их называют эксперты, децентрализованные финансы заполонили криптовалютное пространство и прокладывают дорогу в наше светлое будущее, которое завещал Сатоши, по крайней мере так нам сказали.
Очень странные дела происходят в эти дни и если опустим темы халвинга, падающей нефти и кризиса, то вернемся к недавнему взлому одного из DeFi-приложений dForce, который потерял $25 000 000 пользовательских средств, то сможем посмотреть на происходящее со стороны.
Хронология событий:
- Взлом;
- Хакер перевёл $250 000 в стейблкоинах PAX на адреса децентрализованных бирж 1inch.exchange, ParaSwap;
- Часть PAX ушла на адрес админа взломанного dForce с пометкой «лучшего будущего»;
- Админ выслал почту для связи с сообщением «Свяжись с нами. Ради твоего лучшего будущего»;
- Хакер вернул стейблкоины Huobi BTC и Huobi USD на $2,6 млн;
- Хакер засветил китайские ip на dex бирже 1inch.exchange;
- По запросу полиции Сингапура, владелец DEX-биржи 1inch.exchange выдал данные хакера;
- Хакер вернул все средства.
Кто нарушил закон, хакер или DeFi?
В этой истории прекрасно все: Huobi, которая является инвестором взломанного dForce, децентрализованная биржа, сотрудничающая с полицией и само децентрализованное приложение (DeFi), которое было взломано.
Здесь были нарушены все правила DeFi-приложений (если это действительно то, о чем нам говорят) заложенные в его код, который одновременно и является для данной системы законом.
По сути именно этот закон (код) и должен регулировать взаимоотношения в системе, а не полиция или какие-либо регуляторы иначе в чем разница?
Ведь даже в реальном мире существуют юристы, которые находят дыры в законах, позволяющие легально не платить налоги или обходить какие-то ограничения.
Так и здесь, пользователь использовал код, согласно его функциональным возможностям, предусмотренным в смарт-контрактах. И разве его вина в том, что разработчики скопировали код и не позаботились о безопасности пользователей?
Не все так очевидно и просто
Кроме всего прочего, очень складно все получилось. Хакер обнаружил уязвимость, успешно ее использовал, вывел $25 000 000. Вернул немного денежек и якобы неликвидные по своему мнению активы в размере почти $3 000 000 и не оставил следов, но попался на ip на какой-то DEX-бирже с моментальным привлечением властей в трехдневный срок.
Вопрос в том, кому это выгодно и почему на переднем плане хакер, а не платформа, которая поступилась пользовательской безопасностью.
«Если проект не обладает опытом разработки собственных смарт-контрактов, а вместо этого ворует и перераспределяет чужой код, защищенный авторским правом, это признак того, что у него нет возможности или намерения рассматривать вопросы безопасности» , — написал основатель Compound, комментируя взлом dForce.
Вывод состоит в том, что мы доверяем свои средства тем, кто не имеет никакого желания делать качественный продукт, подозрительно играя на публику в тандеме с регуляторами и подогревая интерес сообщества, отвлекает от настоящих проблем в виде абсолютной некомпетентности вкупе с жадными амбициями.