Frecuentes ataques DeFi: ¿ERC-777 tiene la culpa?

Prefacio del traductor: los protocolos DeFi Uniswap y dForce se vieron afectados por ataques de reingreso el 18 y 19 de abril, lo que provocó pérdidas de decenas de millones de dólares. Sorprendentemente, dForce recuperó los activos robados y los devolvió a los usuarios. Durante un tiempo, la punta de lanza se dirigió al estándar de token ERC-777. Sin embargo, ERC777 es esencialmente una extensión de ERC-20 para agregar nuevas funciones para mejorar la experiencia del usuario. ¿De verdad vamos a dejar de comer por atragantarnos? ¿Cómo debería DeFi romper el cuello de botella de seguridad?

En solo un fin de semana, se robaron decenas de millones de dólares de cuentas de contratos inteligentes.

El grupo de fondos imBTC de Uniswap fue pirateado, lo que resultó en la pérdida de tokens por valor de 300,000. No mucho después, dForce fue golpeado por un ataque similar, aunque la mayor parte de la criptomoneda robada ahora ha sido devuelta. Ambos incidentes aprovechan las vulnerabilidades del vector de ataque de reentrada.

Se ha afirmado que una vulnerabilidad en ciertas funciones del estándar de token ERC-777 es la causa de ambos ataques. Sin embargo, las vulnerabilidades de reingreso son comunes, especialmente durante el ataque DAO en 2016. Entonces, en realidad, el ataque no tiene nada que ver con el token estándar ERC-777 en sí.

Es importante que, a medida que se desarrolla esta industria naciente, reconozcamos las fortalezas y debilidades de varios protocolos, fomentemos la colaboración y el debate abiertos, y trabajemos juntos para mejorar los estándares de la industria.

Culpar a los estándares de los tokens es poco constructivo y engañoso. Los nuevos estándares de tokens diseñados para resolver viejos problemas son inherentemente más seguros, pero por lo tanto pueden correr el riesgo de ser cuestionados. En cambio, necesitamos analizar y actuar sobre esta realidad en evolución.

¿Qué es ERC-777?

Los tokens de Ethereum son monedas digitales que se ejecutan en Ethereum y desempeñan un papel único e importante en el ecosistema. Los tokens individuales están representados por sus contratos inteligentes, con los que interactúan otras DApps y usuarios.

Las empresas de blockchain dan la bienvenida a los dividendos de la política. En los primeros cinco meses de este año, el número de registros aumentó en 15.600: según los datos de la búsqueda de empresas, hay 75.100 empresas existentes con la palabra clave "blockchain" en mi país. En 2019, se agregaron 10 900 nuevas empresas de blockchain y en 2020, se agregaron 24 900 nuevas empresas, un aumento interanual del 128 %. De enero a mayo de este año, se agregaron 15 600 nuevas empresas, año tras año. aumento del 155%. Desde la perspectiva de la distribución geográfica, la provincia de Guangdong tiene la mayor cantidad de empresas de blockchain, llegando a 29 100, lo que representa el 39 % de todas las empresas. Shandong, Hainan, Jiangsu y Zhejiang tienen 5982, 5873, 5864 y 30 000 empresas de blockchain respectivamente. 4989 hogares. (Una fortuna) [2021/6/10 23:27:40]

Por lo tanto, Ethereum introdujo estándares de token para simplificar la interacción entre muchas DApps y tokens en el ecosistema, mejorando así la componibilidad. El estándar de token ERC-20 se desarrolló inicialmente en 2015 con el objetivo de ser una "interfaz de token estándar". Aquí hay una guía sobre cómo funciona el estándar de token ERC20.

Con el tiempo, los tokens de Ethereum se han conectado cada vez más al ecosistema y sus aplicaciones se han vuelto más y más amplias. A medida que crece la cantidad de casos de uso y aplicaciones para tokens, y los contratos inteligentes más complejos imponen mayores exigencias al estándar básico de tokens ERC-20, comienzan a surgir algunas de sus limitaciones.

De hecho, originalmente el estándar se diseñó para tratar con la funcionalidad básica, por lo que no es adecuado para todos los casos de uso.

Aunque la mayoría de los tokens de hoy siguen el estándar ERC-20, todavía hay algunos tokens que agregan funciones personalizadas según sus propias necesidades. Como resultado, se agregaron algunas características no estándar (llamadas "extensiones") a tokens individuales.

Por ejemplo, el estándar ERC-20 no admite funciones de conversión y grabación, pero de hecho estas funciones son necesarias, por lo que se agregan como funciones de extensión. En algunos casos, los requisitos funcionales se superponen parcialmente, por lo que varios tokens agregan diferentes extensiones.

WBF Exchange de Singapur lanzará oficialmente ARNX el 22 de septiembre: según información oficial, el 22 de septiembre de 2020, hora de Singapur, WBF Exchange lanzará oficialmente ARNX y lanzará el comercio de ARNX/USDT en la zona abierta a las 15:00 del mismo día. derecho.

Aeron es un sistema que utiliza la tecnología blockchain para rastrear el mantenimiento diario de las aeronaves y los registros de los pilotos. Aeron está construyendo una base de datos distribuida globalmente para administrar aeronaves, escuelas de vuelo y datos de pilotos. Dicho sistema de monitoreo electrónico puede supervisar a los pilotos, de modo que deben reflejar oportunamente el tiempo de vuelo preciso, el registro de vuelo y otros datos, para que la aviación sea más segura.

El ARNX actualizado mejorará aún más la forma del producto, admitirá varias funciones extendidas de DeFi, así como productos de seguros con control de datos encriptados y productos de fabricación digital con control de autoridad encriptado. ARNX ha anunciado recientemente planes para implementar en el mercado chino. [2020/9/22]

Esta naturaleza descentralizada del estándar ERC-20 complica innecesariamente el proceso de integración de DApp e incluso la compatibilidad general. Para resolver este problema de fragmentación, la comunidad intenta llegar a un consenso sobre un nuevo estándar.

El nuevo estándar de token ERC-777 se lanzó el año pasado después de dos años de discusiones abiertas. El estándar de token ERC-777 más poderoso "intenta mejorar el estándar de token ERC20 ampliamente utilizado" y se convierte en una versión completamente extendida de su formalización.

Introduce y "aclara la funcionalidad avanzada requerida" para interactuar con tokens, brindando a los titulares de tokens un mayor control sobre sus activos. Todos los tokens ERC-777 son compatibles con versiones anteriores del estándar ERC-20, lo que significa que si una DApp o billetera es compatible con el estándar ERC-777, también es compatible con el estándar ERC-20.

ERC-20 es un formato de token simple. Gracias a su simplicidad, muchos proyectos y equipos han utilizado este estándar para construir nuevas DApps con relativa facilidad, lo que no solo promueve el desarrollo del ecosistema, sino que también estimula la vitalidad de la innovación y la creatividad. Sin embargo, sus limitaciones también lo convierten en un desafío constante en términos de experiencia de usuario.

El estándar ERC-777 tiene como objetivo resolver dos problemas principales inherentes al estándar ERC-20

1. ERC-20 solo responde a transacciones de Ethereum (ETH). Aprobar y transferir dinero requiere dos pasos, y esta deficiencia genera muchos problemas en la experiencia del usuario. El problema más obvio es que procesar una sola solicitud requiere iniciar dos transacciones separadas. ERC-777 puede realizar la transferencia de tokens a través de la función de ejecución sin utilizar ETH como medio, lo que simplifica el proceso de transferencia.

2.  "Error de usuario" resultó en la pérdida de tokens por valor de millones de dólares. Los usuarios suelen enviar sus tokens a un contrato inteligente, no a una dirección de destino de blockchain. Dado que no se ha definido el comportamiento estándar de la función de "transferencia" en el manejo de tales errores, los contratos ERC-20 no pueden detectar tales errores.

Esta característica del estándar de token ERC20 "es un error de software y puede clasificarse como una vulnerabilidad de software". Por el contrario, los contratos inteligentes ERC-777 pueden detectar dichos errores y rechazar transferencias de tokens erróneas.

El estándar ERC-777 no es compatible con algunos protocolos

Las funciones específicas del estándar ERC-777 son sus características únicas. Estas funciones permiten la interoperabilidad entre protocolos, lo cual es fundamental para escalar el ecosistema Ethereum.

Sin embargo, dado que el estándar de token ERC-777 se introdujo el año pasado, es posible que estas características no sean compatibles con algunos protocolos, especialmente con algunos contratos inteligentes implementados anteriormente.

Dado el rápido desarrollo de Ethereum y la creciente complejidad de los contratos inteligentes financieros descentralizados emergentes, no sorprende que existan incompatibilidades. Pero también es importante abordar estos problemas en el protocolo lo antes posible, porque están expuestos a la intrusión de vectores de ataque. Lo mismo ocurre con otras incompatibilidades, no solo con el estándar ERC-777.

A medida que aumente la adopción de este nuevo estándar, otros proyectos deberán admitir tokens ERC-777 o implementar las medidas de seguridad necesarias para proteger sus propios proyectos de tales ataques. Desafortunadamente, muchos proyectos no hacen las dos cosas anteriores.

En algunos casos, por ejemplo, a pesar de que el equipo de Uniswap anunció el problema con V.1, simplemente se desaconseja a los usuarios bloquear sus tokens ERC-777 en fondos de liquidez.

El equipo de Uniswap también parece haber asumido erróneamente que el contrato aún estaba seguro debido a un ataque de reingreso al transferir tokens. Tenga en cuenta que esta suposición no es cierta para ningún tipo de contrato inteligente, pero algunos protocolos aún asumen falsamente que las transferencias de tokens (no solo las transferencias ETH) son más seguras de lo normal. Desafortunadamente, esta vulnerabilidad fue aprovechada en un ataque de reingreso el pasado fin de semana.

Iniciar un ataque de reingreso es manipular las funciones que interactúan ("comunicarse" e interoperar) en el contrato inteligente para atacar el contrato. Por ejemplo, tres contratos inteligentes pueden estar involucrados cuando un usuario intercambia sus tokens; el contrato inteligente A (una dApp o protocolo como Uniswap) interactúa con el contrato inteligente B (un contrato inteligente de token como imBTC u otra dApp o protocolo), luego el contrato inteligente B interactúa con el contrato inteligente C (cualquier contrato inteligente que puede crear un pirata informático solo para robar fondos).

Si un atacante secuestra el contrato inteligente C, puede enviar solicitudes de tokens, pero falsificará la confirmación de la recepción de los fondos. La solicitud para enviar tokens al contrato inteligente C aún se ejecuta, pero el atacante puede continuar fingiendo que los tokens nunca se recibieron. Dado que se trata de un proceso automatizado, no hay forma de intervenir a menos que el usuario se dé cuenta de que está siendo atacado y rescinda el contrato.

Lecciones del pasado

Este vector de ataque lo expone al riesgo de ser atacado. Como característica clave de la interoperabilidad de Ethereum, se puede manipular de varias maneras. Los contratos inteligentes de token también son una de las herramientas para lanzar ataques de reingreso. Este es el caso de los recientes ataques imToken/Uniswap y dForce.

No podemos dejar de comer por atragantarnos. El ataque no es suficiente para poner fin a la era DeFi, y ni siquiera es suficiente para hacernos cuestionar la seguridad del token estándar ERC-777.

El número de tokens ERC-777 está creciendo constantemente. Equipos como Augur están decidiendo actualizar su formato de token de ERC-20 a ERC-777. A medida que crece la industria DeFi, es fundamental que comprendamos los riesgos de usar tecnologías tan innovadoras y cómo minimizarlos.

La belleza de esta vulnerabilidad es que es un error en el código en lugar de las fallas sistémicas inherentes (corrupción, exceso de regulación y exclusión) que prevalecen en la industria financiera tradicional. Con DeFi, hemos cambiado la confianza de los humanos al código. Por lo tanto, aunque siempre habrá personas que exploten deliberadamente el código, al menos el código en sí no intenta sacar provecho de los humanos. Ese no es el caso en el sistema económico actual.

Como parte de la industria DeFi, debemos mejorar continuamente los estándares, haciendo que cada iteración sea más sólida y segura. Actualmente, ERC-777 tiene una serie de ventajas que pueden aportar valor a los titulares de tokens y DApps. Siempre deberíamos estar trabajando para mejorar el estándar ERC-777 y todos los estándares futuros. Para que DeFi se destaque, el avance radica aquí.

Fuente | Medio

Autor | Cosas demostrables

Tags：

DAI