Questa settimana, abbiamo assistito allo spettacolo della nascita e immediata morte di una nuova tipica "degen yield farm."
Harvest Finance ha raccolto 1 miliardo di dollari in valore totale bloccato prima che un “exploit economico” mandasse in frantumi il protocollo. Lo stesso parametro si trova ora intorno a 300 milioni di dollari e le prospettive di una ripresa non sembrano verosimili.
L’exploit ha nuovamente acceso i dibattiti tra i membri della comunità DeFi sulla classificazione di tali attacchi di arbitraggio basati su flash loan come effettivi hack.
Harvest mette a disposizione vault di yield farming simili a quelli di Yearn. Emettono quote di vault tokenizzate in base al valore degli asset forniti dagli utenti. Alcuni di questi vault ricorrono alla Y pool di Curve, che offre liquidità per gli swap tra USDT, USDC, DAI e TUSD.
L’attacco ha utilizzato una serie di flash loan per convertire 17 milioni di dollari da USDT a USDC attraverso Curve, aumentando temporaneamente il prezzo di USDC a 1,01$. In seguito, il responsabile ha usato 50 milioni di dollari in USDC ottenuti con un altro flash loan, che il sistema ha considerato equivalenti a 50,5 milioni di dollari, per fornire liquidità nel vault USDC di Harvest.
Dopo il suo ingresso, il criminale ha invertito l’operazione in USDC precedente tornando in USDT, per riportare il prezzo in equilibrio, e ha riscattato immediatamente le proprie quote nelle pool di Harvest per ricevere 50,5 milioni di dollari in USDC, un profitto netto di 500.000$ per ciclo, ripetuto più volte per ottenere un bottino totale pari a 24 milioni di dollari.
Si tratta di un hack o no?
Tecnicamente, non è stata coinvolta nessuna vulnerabilità. L’attacco ha aggirato un controllo per questo genere di “operazioni di arbitraggio” che rileva se il prezzo delle stablecoin si distacca troppo dal loro valore previsto. Tuttavia, questa verifica era già impostata a livelli minimi e rappresentava più un lieve inconveniente che un vero blocco, un criminale deve semplicemente usare più cicli di exploit.
Quindi, in questo senso, ha ragione chi lo definisce semplicemente un’operazione di arbitraggio, non c’è nessun comportamento indesiderato nel codice, somiglia più a una manipolazione del mercato ripetuta ad alta velocità.
Nonostante ciò, il team di Harvest Finance si è assunto la responsabilità per questo incidente attribuendolo a un difetto di progettazione, un’azione lodevole.
Tuttavia, è senza dubbio vero che si tratta di una categoria differente dai bug come la reentrancy. Sottolinea che questi moduli finanziari, spesso definiti “Lego monetari,” devono essere progettati con la massima attenzione.
È come se qualcuno avesse creato una pistola usando pezzi di Lego e la gente stesse discutendo se l’arma è stata “creata” o “scoperta” dato che tecnicamente le sue parti sono state assemblate come progettato. In entrambi i casi, i Lego dovrebbero essere rielaborati per fare in modo che non possano diventare un’arma letale.
Un po’ troppa fiducia per gli standard delle crypto
Prima dell’hack, Harvest era noto per il suo estremo grado di centralizzazione. Nei suoi giorni di gloria, il valore bloccato pari a 1 miliardo di dollari avrebbe potuto essere rubato da un singolo indirizzo, molto probabilmente controllato dal team anonimo dietro il progetto.
Un paio di audit hanno evidenziato il fatto, mettendo anche in chiaro che l’indirizzo era in grado di nominare emittenti e creare token a proprio piacimento.
I sostenitori del progetto l’hanno difeso con determinazione, sostenendo che grazie al timelock, i possessori della chiave di governance avrebbero potuto rubare i fondi solo 12 ore dopo aver segnalato le proprie intenzioni, o creare solo un numero limitato di token.
Lascerò giudicare a voi questi ragionamenti. La questione principale è che nella ricerca dei rendimenti, questi “degen” stanno ignorando i principi fondamentali della decentralizzazione e il senso della DeFi.
E non sto criticando per dei miei motivi idealistici. Lo faccio per i rug pull. Queste sono le esatte circostanze che hanno portato a disastri come UniCats.
L'assurda storia di bZx
A proposito di hack, ho avuto il piacere di intervistare il team di bZx riguardo il loro anno terribile. Nel corso del 2020 hanno subito un totale di tre hack, anche se alcuni di questi assomigliano più agli “exploit economici” menzionati prima.
Il team è senza alcun dubbio dedicato. Una storia che non è apparsa nell’articolo vede Kyle Kistner saltare una recinzione in piena notte per entrare nel quartiere privato in cui viveva il suo co-fondatore Tom Bean. A quanto pare c’era un bug che doveva essere risolto letteralmente il prima possibile.
A giudicare dalla storia, essere uno sviluppatore DeFi non è per i deboli di cuore, né per chi ama dormire.
Ovviamente, non si può fare a meno di notare che bZx ha subito exploit un po’ troppo spesso. Come ex bug bounty hunter potevo decisamente vedere quanto le loro pratiche di sicurezza fossero scadenti nei primi mesi dell’anno (il programma di bug bounty, per esempio, è andato piuttosto male), ma ho visto anche come hanno rettificato molti dei loro errori. Forse ci sono altri problemi di fondo, ma credo che eventualmente riusciranno a riprendersi se non si verificano altri incidenti.
La minaccia della DeFi per lo staking
Un report di ConsenSys sottolinea un problema che finora è stato praticamente ignorato, ovvero il costo opportunità dello staking in un ambiente DeFi.
L’idea è piuttosto semplice: i soldi inseguono i rendimenti più alti, e la DeFi sembra offrirne parecchi in questi giorni. Anche qualcosa di relativamente moderato come un APY del 20% può superare il potenziale 8% circa ottenuto con lo staking e la convalida su Ethereum 2.0.
Questo problema è aggravato ulteriormente considerando che la Phase 0 di Ethereum non permetterà di prelevare o trasferire i token impegnati fino all’arrivo della Phase 1 o 2. In sostanza stai scommettendo che il team riuscirà a realizzare un’implementazione completa in un lasso di tempo ragionevole, e non vieni premiato molto per il rischio.
In tale scenario, più popolare è la DeFi, meno sicuro sarà il network, e questo è un grande problema.
Fortunatamente, è in gran parte risolvibile attraverso i derivati di staking, token liquidi garantiti da collaterale usato per lo staking, una sorta di IOU Ether. Non mancano i rischi associati, ovvero che il collaterale sottostante potrebbe essere tagliato e improvvisamente gli IOU varrebbero meno. La cosa positiva per il network è che in questo scenario solo la DeFi ne risentirebbe, ristabilendo così la gerarchia di importanza naturale.
Tuttavia, questo evidenzia quante interazioni non volute potrebbero verificarsi in futuro. La DeFi può già essere estremamente complessa, e se la gente non la comprende pienamente, le conseguenze potrebbero essere terribili.