Почему атаки с помощью мгновенных кредитов станут нормой

Эта статья сделана в партнерстве с DragonFly Research и является переводом материала Flash Loans: Why Flash Attacks will be the New Normal за авторством Haseeb Qureshi.

Мгновенные кредиты (flash loans) в последнее время в центре внимания. Недавно с их помощью хакеры атаковали протокол маржинальной торговли bZx. В результате двух похожих атак они похитили сначала 350 тысяч, а затем более 600 тысяч долларов.

Эти атаки поражают воображение. В каждой из них злоумышленник, не имея ни цента, мгновенно занял эфиров на сотни тысяч долларов, пропустил их через ряд уязвимых ончейн-протоколов, присвоил активов на сотни тысяч долларов и сразу же вернул свои огромные кредиты. Всё это произошло мгновенно – в одной эфириум-транзакции.

Cover art by Carmine Infantino

Мы не знаем, кто и откуда провел эти атаки. Злоумышленники практически без начального капитала скрылись с сотнями тысяч долларов. Следов, которые могли бы позволить их идентифицировать, они не оставили.

После этих атак я много думал о технологии мгновенных кредитов и её последствиях для безопасности DeFi и решил, что об этом вполне стоит порассуждать публично.

Вкратце: я считаю, что мгновенные кредиты никуда не денутся, хотя они представляют значительную угрозу. Поэтому мы должны тщательно учитывать их влияние на будущую безопасность DeFi.

Читать дальше

ББ-125: Роман Сторм, Роман Семенов и Алексей Перцев (Tornado.Cash) о анонимности блокчейн-транзакций


Tornado Cash самое известное (и уже работающее) решение для анонимизации платежей на блокчейне Ethereum. Мы пригласили в гости его создателей Романа Сторма, Романа Семенова и Алексея Перцева и обсудили безопасность подобных продуктов, их устройство и разницу в подходах для разных блокчейнов.

  • 1:30 Благодарим наших патронов и спонсоров: Solana, HodlHodl и Zerion!
  • 4:11 Как гости попали в команду Tornado Cash?
  • 7:21 Что такое миксер?
  • 12:59 Насколько эффективны миксеры на Bitcoin?
  • 14:46 Можно ли сделать на Ethereum эффективный миксер без использования Zero Knowledge?
  • 17:20 Актуальна ли для Ethereum проблема «грязных» монет из миксеров?
  • 22:38 Как работает Tornado Cash?
  • 26:58 А может ли эта система скейлиться?
  • 29:30 Как работает SNARK?
  • 33:53 Почему именно SNARK, а не STARK например?
  • 35:05 Что такое и зачем нужен Trusted Setup?
  • 41:25 Почему не использовать Trusted Setup от ZCash?
  • 44:13 Сколько поучаствовало людей?
  • 46:22 Кто такие релееры?
  • 50:36 Обновляемы ли контракты Tornado Cash?
  • 54:46 Не является ли фронтенд точкой централизации?
  • 56:20 Кого конкретно в себя включает анонимити сет и как его увеличить?
  • 1:01:11 Какие правила безопасности необходимо соблюдать при использовании Tornado Cash?
  • 1:03:01 Как обеспечить сетевую безопасность, если метамаск посылает все запросы на инфуру?
  • 1:04:23 Можно ли пользоваться Tornado.cash через Tor?
  • 1:08:30 Какие еще есть решения для приватности в крипте?
  • 1:12:38 Гранты и проблемы с монетизацией Tornado Cash.
  • 1:18:24 Ближайшие планы.

Ссылки:

Спасибо нашим спонсорам:

  • Подкаст выходит при поддержке Zerion – понятного интерфейса к DeFi-протоколам. 
  • Подкаст выходит при поддержке HodlHodl – площадки для покупки и продажи биткоинов без верификации. Зарегистрируйтесь и получите скидку на комиссию!
  • Подкаст выходит при поддержке Solana – быстрого блокчейна без шардинга. Подробности на solana.com и в телеграме @solanarus.

    Поддержите подкаст!
  • Bitcoin: bc1qec856uhwuguhnn28r54tlkrh3dh95ctajvpjaf
  • Patreon: https://www.patreon.com/basicblockradio/overview

https://basicblockradio.com/

РАСШИФРОВКА ВЫПУСКА

ББ-123: Игорь Мацак и Александр Ракунов (Atomex) об атомарных свопах


Протоколы атомарных свопов позволяют децентрализованно обменивать криптовалюты. Игорь Мацак и Александр Ракунов рассказывают о проекте Atomex – кошелька с атомарными свопами. Обсуждаем технологии, экономику и перспективы обмена криптовалют без доверенной стороны.

Таймкоды:

  • 01:10 спасибо патронам и спонсорам: HodlHodl, Solana, Zerion!
  • 02:05 бэкграунд гостей: Бауманка, трейдинг, Tezos
  • 06:35 почему именно Tezos (про Tezos слушайте ББ-055)
  • 10:35 что такое атомарный своп?
  • 14:25 процесс свопа по шагам
  • 17:55 что должен поддерживать блокчейн? Атака длины секрета
  • 22:35 сравнение свопов и Lightning
  • 31:05 сравнение свопов с HodlHodl и Bisq
  • 33:35 о проекте Atomex
  • 35:45 какие валюты поддерживает Atomex
  • 37:45 в чем нужно доверять серверу?
  • 43:35 проблема ликвидности и проблема бесплатного опциона
  • 47:35 депозит провайдеров ликвидности
  • 51:55 экономика атомарных свопов: где прячутся комиссии?
  • 55:55 параметры контрактов и величины таймаутов
  • 59:55 проблема оплаты комиссии в эфирах
  • 1:03:15 насколько большие транзакции для on-chain?
  • 1:05:55 ждем подписей Шнорра!
  • 1:06:55 использование спопов для OTC-сделок, проект Arwen
  • 1:08:15 статистика использования Atomex
  • 1:13:15 почему Windows? Вопросы кросс-платформенности 
  • 1:17:25 приватность в атомарных свопах
  • 1:22:45 перспективы добавления приватных криптовалют в Atomex
  • 1:28:05 Atomex проверяет происхождение средств?
  • 1:36:05 Atomex как компания, гранты Tezos Foundation
  • 1:38:25 roadmap: мобильные приложения, OTC, новые чейны, редизайн
  • 1:40:25 мост между двумя DeFi-экосистемами: Ethereum и Tezos
  • 1:42:05 атомарные свопы с фиатом
  • 1:44:05 перспективы свопов: где адопшен?
  • 1:47:25 торговля с плечом через свопы

Ссылки: 

Спасибо нашим спонсорам:

  • Подкаст выходит при поддержке Zerion – понятного интерфейса к DeFi-протоколам. 
  • Подкаст выходит при поддержке HodlHodl – площадки для покупки и продажи биткоинов без верификации. Зарегистрируйтесь и получите скидку на комиссию!
  • Подкаст выходит при поддержке Solana – быстрого блокчейна без шардинга. Подробности на solana.com и в телеграме @solanarus.

Поддержите подкаст!

https://basicblockradio.com/

 

Расшифровка выпуска

ББ-119b: Конференция CryptoEconSys: стейкинг и гипербартер

Разбираем еще три доклада с Cryptoeconomic Systems 2020: про конкуренцию между стейкингом и лендингом, про конец денег и гипербартер и про многоступенчатые атаки 51%.

Бонусный выпуск специально для патронов ББ:

https://www.patreon.com/posts/36327490

Поддержите подкаст и получите доступ к эксклюзивным материалам!

ББ-119: Конференция CryptoEconSys: экономика и философия

Обсуждаем избранные доклады конференции Cryptoeconomic Systems 2020: о состоянии блокчейн-индустрии, о степени децентрализованности Maker DAO, о нереалистичности всеобщей токенизации и о политике обновлений в блокчейнах. 

 Таймкоды:

  • 01:00 что за конференции
  • 01:30 спасибо патронам и спонсорам: HodlHodl, Solana, Zerion!
  • 04:30 MIT в блокчейн-экосистеме
  • 06:00 MIT Bitcoin Expo
  • 06:40 Cryptoeconomic Systems и междисциплинарность блокчейн-исследований
  • 09:30 общие впечатления от конференций
  • 10:30 доклад о состоянии индустрии в 2020 году
  • 12:30 Bitcoin как Store of value, ICO уходят, интитуционалы приходят
  • 16:40 сколько активных разработчиков и пользователей?
  • 22:30 прогнозы на будущее: неоправданный оптимизм?
  • 25:40 как устроены оракулы и governance в Maker DAO (спойлер: всё не так децентрализованно)
  • 41:30 взгляд юриста: почему токенизировать всё не получится
  • 53:30 анонс бонусного выпуска! Там разбор ещё трёх докладов с CryptoEconSys
  • 54:40 governance: почему радикальные изменения реализуются чаще
  • 1:01:40 теоретико-игровой смысл бомбы сложности Ethereum
  • 1:04:30 аналогии с трендами в политике
  • 1:08:00 одной строкой про остальные доклады
  • 1:14:00 вкратце о докладах в бонусном выпуске: proof-of-stake, конец денег и атаки 51%

 Ссылки: 

Спасибо нашим спонсорам:

  • Подкаст выходит при поддержке Zerion – понятного интерфейса к DeFi-протоколам. 
  • Подкаст выходит при поддержке HodlHodl – площадки для покупки и продажи биткоинов без верификации. Зарегистрируйтесь и получите скидку на комиссию!
  • Подкаст выходит при поддержке Solana – быстрого блокчейна без шардинга. Подробности на solana.com и в телеграме @solanarus.

 Поддержите подкаст!

 https://basicblockradio.com/ 

Читать расшифровку

ББ-118: Виктор Радченко (TrustWallet) о разработке современного криптокошелька

Виктор Радченко – основатель и CEO мультивалютного криптокошелька TrustWallet, официального кошелька компании Binance. Какую функциональность обязан иметь современный кошелек в 2020 году? Какие задачи ставит перед собой компания Binance, скупая криптопроекты и инвестируя в децентрализованные сервисы? Придумал ли кто-нибудь способ облегчить онбординг нового пользователя без жертв со стороны приватности и безопасности?

    • 01:00 — спасибо патронам и спонсорам: ZerionHodlHodl и Solana!
    • 02:35 — как Виктор пришел в блокчейн
    • 04:45 — Почему начал именно с написания кошелька?
    • 05:43 — Повлиял ли security background на написание кошелька?
    • 06:53 — Зачем был нужен ICO?
    • 11:39 — если кошелек — это инвестициия в экосистему, то как считается ROI?
    • 13:10 — какие критерии добавления новых монет и функциональности?
    • 16:46 — где проводится грань между Open Source и проприетарной разработкой?
    • 19:39 — TrustWallet — это доступ к сервисам Binance?
    • 22:25 — про интеграцию с фиатными сервисами.
    • 26:13 — про проблемы онбординга с сид-фразой.
    • 28:19 — DEX, интегрированный в интерфейс
    • 34:30 — как делается реферальная программа, если пользователи анонимны?
    • 36:48 — что такое Binance Chain и что такое токены BEP2?
    • 44:10 — за счет чего работает stable coin на Binance Chain?
    • 45:15 — есть ли в кошельке KYC?
    • 46:14 — какие еще сервисы есть в экосистеме Binance и зачем?
    • 49:08 — планируется ли глубокая интеграция с DeFi?
    • 52:42 — проблемы с Apple Store и Google Store
    • 57:57 — какие новые тенденции в криптокошельках появились за последнее время?
    • 1:02:14 — немного отвлеклись на NFT в играх
    • 1:05:57 — чем хороши Smart Contract Wallets?
    • 1:08:38 — конкуренция со стороны гигантов
    • 1:10:25 — похожи ли нынешние времена на криптозиму 2019 года?
    • 1:14:01 — как нам всем развить adoption?

Ссылки: 

Спасибо нашим спонсорам:

    • Подкаст выходит при поддержке Zerion – понятного интерфейса к DeFi-протоколам.
        • DeFi SDK от Zerion — если вы разработчик в DeFi, это облегчит вам жизнь! 
    • Подкаст выходит при поддержке HodlHodl – площадки для безопасной покупки и продажи биткоинов без верификации. Зарегистрируйтесь по ссылке и получите скидку на комиссию! 
    • Подкаст выходит при поддержке Solana – феноменально быстрого блокчейна без шардинга. Токены SOL доступны на Binance с 9 апреля, подробности на solana.com и в телеграме @solanarus.

Поддержите подкаст!

https://basicblockradio.com/

Читать расшифровку выпуска

ББ-116: Алексей Башлыков и Вадим Колеошкин (Zerion) про «Черный четверг» в DeFi

12 марта в экосистеме DeFi произошло событие, названное «Черным четвергом». Мы пригласили Алексея Башлыкова и Вадима Колеошкина, экспертов в области DeFi и создателей платформы Zerion, чтобы они помогли нам восстановить и разобрать хронологию событий: почему курс эфира пошел вниз, почему «отказала» система ликвидацииии Maker и как заделывается дыра в обеспечениии? А также что произошло в этот день с другими протоколами и что произошедшее может значить для будущего DeFi.

Таймкоды:

    • 3:00 — Еще раз: как работает Maker?
    • 5:44 — Что такое ликвидация и как она работала в Single-Collateral Dai?
    • 11:36 — Механизм аукционов при ликвидации в Multi-Collateral DAI
    • 19:05 — С чего начался черный четверг? Почему пошел вниз курс ETH и поднялись комиссии?
    • 22:44 — Почему начались проблемы с ликвидностью DAI и почему это сыграло решающую роль?
    • 29:20 — Был ли это «взлом» системы со стороны ликвидаторов или случайность?
    • 30:50 — Maker как ЦБ.
    • 31:50 — Кто в итоге остался в дураках?
    • 35:00 — Была ли вообще предусмотрена ситуация Network Congestion в Maker?
    • 37:24 — Что предпринял Maker, чтобы решить проблему?
    • 38:14 — Что такое MKR токен и зачем он нужен? Похож ли он на акции обычных компаний?
    • 43:24 — Как проходит голосование стейкхолдеров?
    • 45:21 — Как происходит аукцион по продаже MKR?
    • 47:35 — Насколько децентрализован Maker?
    • 52:10 — А вернул ли кто-нибудь деньги заемщикам? Могло ли количество пострадавших быть больше?
    • 56:30 — Что произошло на других lending протоколах? Почему там не произошла подобная «катастрофа»?
    • 1:03:10 — Что происходило с объемом торгов на DEX типа Uniswap?
    • 1:04:47 — Что происходит с рынком ликвидаторов? Объединятся ли ликвидаторы с майнерами?
    • 1:08:43 — Как разработчикам таких систем защититься от подобных рисков в будущем?
    • 1:12:20 — Возможен ли under-collateralized lending в DeFi? Гибридные блокчейн-системы для оптимизациии финансовых систем.
    • 1:21:20 — Итоги для экосистемы DeFi
    • 1:24:04 — Проголосуйте за Вадима и Алексея на конкурсе выпускников ВШЭ!
    • 1:25:00 — DeFi SDK

Ссылки:

Спонсоры

    • Подкаст выходит при поддержке HodlHodl. Зарегистрируйтесь по нашей ссылке и получите скидку на комиссию!
    • Подкаст выходит при поддержке Zerion – понятного интерфейса к DeFi-протоколам.

 Поддержите подкаст!

https://basicblockradio.com/

Читать Расшифровку Выпуска

ББ-112: Андрей Козлов (Aave) о flash loans

Две атаки на bZx с использованием flash loans активно обсуждались в феврале. Разобраться в теме нам помог Андрей Козлов – разработчик в Aave, DeFi-компании, предлагающей в том числе flash loans. Обсуждаем продукты Aave и подробно разбираем атаки: какие ошибки к ним привели и как хакер ими воспользовался? И был ли это хак, или смарт-контракт отработал, как и должен был?

    • 0:38 — как гость попал в криптоиндустрию
    • 3:43 — о компании Aave
    • 7:38 — продукт компании Aave: протокол для кредитования и депонирования, его особенности и отличие от Maker DAO
    • 20:37 — про Flash Loans: что это, как работает и почему это интересная тема для обсуждения
    • 31:23 — статистика использования Flash Loans; как повлиял форк Эфириума на ивенты в контракте Flash Loans
    • 36:21 — о рисках использования Flash Loans
    • 42:40 — первая атака на bZx с использованием Flash Loans: участники, схема атаки, в чем была проблема
    • 53:17 — маржинальная торговля в блокчейн-системах
    • 57:48 — вторая атака с использованием Flash Loans и при чем тут ораклы
    • 1:16:23 — особенности атак на финансовые протоколы в блокчейн-системах
    • 1:25:30 — роль майнеров и фронтраннинга в Flash Loans
    • 1:31:52 — советы разработчикам финансовых протоколов
    • 1:33:09 — DeFi заново проходит путь традиционных финансовых систем, но есть и отличия

Ссылки:

Поддержите подкаст!

https://basicblockradio.com/

ББ-105: Крипто-тезисы Messari 2020

Открываем 2020 год обзором доклада Messari Research о трендах в блокчейн-индустрии. Чего ожидать от наступившего года в экосистемах Bitcoin и Ethereum? Куда идёт DeFi? Что нового придумают регуляторы? Главные выводы доклада обсуждают Сергей Тихомиров и Александр Селезнев.

  • 01:28 кто такие Messari и Райан Селкис
  • 03:12 общие впечатления и оглавление
  • 05:10 десять людей, за которыми нужно следить в 2020: CZ, Zooko и другие
  • 18:43 нарративы: гипербиткоинизация против цифрового золота, эфир это деньги? блокчейн — массовый рынок или технология для диссидентов?
  • 27:22 20 инвестиционных советов (not investment advice!)
  • 29:12 халвинг вызовет булл-ран?
  • 30:35 биткоин — высокорискованная инвестиция или безопасная гавань?
  • 33:05 тренды блокчейн-инфраструктуры. Блокчейн — Дикий Запад (пока)?
  • 36:26 тренды Bitcoin: может ли случиться хард-форк а-ля Bitcoin Cash и почему Lightning не оправдал ожиданий
  • 47:54 тренды Ethereum: когда ждать Eth2.0, развитие приватности и zero knowledge
  • 59:49 тренды DeFi: ждём нового The DAO?
  • 1:05:27 Defi-протоколы на централизованных платформах?
  • 1:07:37 необечпеченные долги и проблема identity
  • 1:12:30 Web3: всё, что не вошло в другие главы
  • 1:18:03 децентрализованную социальную сеть сделает Facebook?
  • 1:22:32 стейблкоины: Tether лидирует, несмотря на конкуренцию
  • 1:28:01 регуляторные вопросы: депрессивный вгляд
  • 1:36:06 наш личный взгляд в 2020 год
  • 1:41:37 благодарим патронов

Огромное спасибо нашим патронам! Нас поддерживают: Алексей Данилов (слушатель из Минска), Игорь Яловой (Product Engineer в OpenZeppelin), Дмитрий Сенотов, Кузьменко Олег, Александр Новиков, Хаскелл Карри и несколько человек, пожелавших остаться неназванными.

Отдельная благодарность нашим супер-патронам:

  • Павел Огородников — русский амбассадор проекта Семукс (https://www.semux.org/). «SEMUX (Семукс) – это проект с оригинальной кодовой базой (написан с нуля на Java), 100% open-sourсe и ведется децентрализованной командой разработчиков. Проект запущен в 2017 году, он представляет собой открытую блокчейн-платформу со своей нативной криптовалютой (SEM). Основная сеть запущена в январе 2018 года и демонтстрирует пока бесперебойную работу. В основе платформы лежит собственный косенсуный алгоритм SemuxBFT, а также интегрирована адаптированная виртуальная машина Ethereum для поддержки смарт-контрактов на языке Solidity. Semux не проводил токенсейла или ICO, а развивается силами комьюнити и за счет самофинансирования. Этот проект задумывался как open-source экспериментальная платформа для энтузиастов. И хоть за 2 года медвежьего рынка от энтузиастов в криптовалютных проектах мало кого осталось, я надеюсь, что среди слушателей Базового Блока такие еще есть)) Хочу пригласить их присоединиться, чтобы помочь в разработке платформы и развитии её инфраструктуры, а заодно прокачать свои скилы. Или чтобы поэкспериментировать со своими смарт-контрактами в тестнете или даже в основной сети (сейчас стоимость транзакций ~ 2-3 коп.). Код-ревью и отзывы тоже принимаются за поддержку.»
  • Петр Королев – open-source developer, сооснователь Matter Labs, эксперт в области Zero Knowledge и Plasma. Он уже был в гостях у подкаста (ББ-043).

Поддержите подкаст!

Подкаст выходит при поддержке Waves: https://wavesplatform.com/

https://basicblockradio.com/

ББ-103: Евгений Юртаев (Zerion) о децентрализованных финансах

Евгений Юртаев – CEO Zerion, интерфейса для DeFi-протоколов. Обсуждаем, как работают главные DeFi-проекты (Maker DAO, Compound, Uniswap), как развивается проект Zerion, как крипто-стартапу получить инвестиции и какое будущее ждет децентрализованные финансы.

  • 0:00 митап в Москве 2 января (пожалуйста, запишитесь!)
  • 02:00 что случилось в жизни гостя с прошлого выпуска с ним (ББ-033)
  • 03:58 что такое DeFi? ликбез по децентрализованным финансам
  • 05:38 как DeFi решает проблему оракулов?
  • 07:30 как работает алгоритмический стейблкоин Maker DAO?
  • 08:55 зачем класть в контракт 150 долларов, чтобы получить 100?
  • 12:00 как Maker понимает, сколько долларов стоит один эфир?
  • 18:30 насколько большой властью над Maker обладают его разработчики?
  • 23:20 зачем нужны токены MKR?
  • 26:09 что такое multi-collateral DAI?
  • 28:58 BTC как залог в DeFi
  • 30:35 почему код контрактов Maker нечитаемый?
  • 33:48 регуляторные риски DeFi
  • 37:09 что такое Compound и как это работает
  • 42:50 как соотносятся Maker и Compound
  • 48:23 Uniswap и децентрализованные биржи
  • 55:18 системные риски DeFi
  • 57:16 Zerion: что такое «интерфейс к DeFi»?
  • 1:01:00 нужен ли внешний кошелек?
  • 1:03:21 какие протоколы поддерживает Zerion? Как решают, что поддерживать?
  • 1:05:59 при каких условиях прекращают поддержку протокола?
  • 1:06:55 статистика по количеству пользователей
  • 1:09:02 планы монетизации
  • 1:10:46 приватность пользователей: можно ли пользоваться Zerion анонимно?
  • 1:14:11 Zerion как компания, как получить инвестиции
  • 1:19:25 обязательно ли ехать за инвестициями в США?
  • 1:21:25 планы Zerion на 2020 год
  • 1:24:59 будущее DeFi. Риски централизации?
  • 1:27:22 DeFi угрожает proof-of-stake?
  • 1:29:54 кто платит за безопасность: держатели или отправители транзакций? Плюсы и минусы дефляционной модели
  • 1:32:35 DeFi наступит на грабли традиционных финансов?
  • 1:34:19 должны ли DeFi-протоколы быть overcollateralized?
  • 1:37:20 вакансии Zerion

Ссылки:

Поддержите подкаст!

Подкаст выходит при поддержке Waves: https://wavesplatform.com/

https://basicblockradio.com/

 

Расшифровка выпуска