ChatGPT nu va mai oferi sfaturi 👀 juridice sau de sănătate

În primul rând, cele mai mari simpatii pentru echipa @Balancer, precum și pentru toți cei afectați de această exploatare. Este întotdeauna o zi grea când există un hack DeFi semnificativ ca acesta, ca să nu mai vorbim de un protocol OG. Mai mult decât costul în dolari al fondurilor furate, acest lucru dăunează cu adevărat tuturor criptomonedelor și imaginii DeFi în ansamblu și dă industria noastră înapoi cu câteva luni. Adevărul este că Solidity este un limbaj prea nesigur pentru a fi cu adevărat cel care găzduiește viitorul finanțelor. Solidity are o suprafață prea mare care îl face predispus la hack-uri, dezvoltatorii bazându-se pe verificări manuale pentru orice, de la controale de acces la matematică precisă, și este exact motivul pentru care limbajele care pun pe primul loc activele, cum ar fi Move, au fost inventate de la început. După ce am săpat puțin, iată cum a fost piratat Balancer: atacatorii au exploatat erorile de rotunjire în schimburile stabile de pool pentru a distorsiona invariantul pool-ului, o constantă matematică cheie care reprezintă lichiditatea echilibrată. Au început cu swap-uri împrumutate flash de BPT (Balancer Pool Tokens) pentru un activ subiacent precum cbETH, împingând soldurile la limite exacte de rotunjire (de exemplu, scalate la 9). Apoi, au schimbat între active precum wstETH în cbETH cu sume create (de exemplu, ~8,918 rotunjit în jos la 8 din cauza scalării în virgulă fixă), subestimând modificările rezervelor și dezumflând artificial invariantul (D). Acest lucru a scăzut prețul BPT (D / totalSupply), permițând atacatorilor să emită excesul de BPT ieftin, să-l ardă pentru a retrage activele subiacente la rate "normale" și să încaseze diferența, furând în esență de la furnizorii de lichidități. Profiturile s-au acumulat în soldurile interne ale seifului și au fost încasate prin manageUserBalance cu WITHDRAW_INTERNAL, fără a fi nevoie de ocolirea directă a autentificării, deoarece defectul de matematică a subvenționat furtul. Este o pierdere de precizie în bibliotecile manuale de virgulă fixă ale Solidity care se revarsă în scurgeri masive. Modul în care Move ar fi ocolit cu totul acest hack este prin coacere în siguranță în esență: activele sunt tratate ca resurse cu tipuri liniare care impun o conservare strictă (fără înșelăciuni, căderi sau pierderi neintenționate), iar matematica folosește numere întregi exacte u64/u128 cu întreruperi de revărsare încorporate, fără flote, fără alunecări de rotunjire exploatabile în calcule complexe. Într-un DEX bazat pe mutare, funcțiile de swap ar verifica și actualiza în mod atomic invarianții prin intermediul VM, anulând orice dezechilibru, cum ar fi: intrare publică fun swap(pool: &mut; LiquidityPool, în: Coin, out_amt: u64): Coin { afirma! (coin::value(&in) >= calculate_required_in(pool, out_amt), E_INSUFFICIENT_INPUT); coin::merge(&mut; pool.coin_x_reserve, în); let out = coin::extract(&mut; pool.coin_y_reserve, out_amt); afirma! (check_invariant(pool), E_INVARIANT_VIOLATION); afară } În plus, tranzacțiile atomice ucid riscurile de reintrare. Acesta este motivul pentru care ecosistemele Move au mult mai puține exploit-uri în comparație cu EVM. Este timpul ca constructorii DeFi să îmbrățișeze limbaje precum Move, care acordă prioritate securității de la zero, astfel încât să putem construi în sfârșit un viitor financiar rezistent fără eșecuri prevenibile ca acesta.