Криптокриптовалюта

Beefy.Finance повідомив про інцидент в системі Venus і Belt

14:27 29 кві 2021.  389Читайте на: УКРРУС

Пояснення поломки.

Децентралізований фінансовий сервіс з оптимізації прибутковості Beefy.Finance повідомив про проблеми, викликані оновленням системи Venus.

Beefy.Finance - фіналіст першого раунду програми Most Valuable Builder, безпосередньо представлений в екосистемі Binance.

Представляємо вашій увазі переклад звіту.

Що сталося, коротко?

Підписуйтеcь на наш Telegram-канал Lenta.UA - ЄДИНІ незалежні новини про події в Україні та світі

Кілька сховищ оптимізатора прибутковості були порушені оновленням одного з процесів виконання контрактів.

Beefy був змушений призупинити роботу сховищ (vaults) Beefy.Finance, які працюють безпосередньо з платформою Venus. Це запобігло витоку коштів користувачів.

Співробітники Beefy спостерігали за поведінкою коду сховищ Autofarm під час реалізації протоколу Venus, і відреагували на проблему вчасно. Як тільки кошти почали втрачати вартість на Autofarm і Belt, і ще до початку будь-яких повідомлень від користувачів, з боку Beefy було вжито заходів безпеки.

Розробники Beefy виявили, що користувачі сховищ на Beefy.Finance все-таки постраждали. Були вжито додаткових заходів безпеки для захисту коштів в тих сховищах Beefy.Finance, вартість яких витікала через Autofarm і Belt.

Користувачі Beefy, проте, повинні також вжити заходів зі свого боку - в сховище Belt BLP. І чим швидше, тим краще. Користувачі повинні вийти зі сховища Beefy.Finance BLP, а потім також вивести свої стейблкоїни зі сховища на Belt.fi.

Робота сховищ Auto (Venus) на Beefy.Finance була припинена, і користувачі Beefy.Finance можуть або вивести кошти з них, або дочекатися їх включення. Активи в сховищах Auto (Venus) ні приносити відсотки через Autofarm і Venus до подальшого повідомлення.

Крім цього, є підстави вважати, що уразливість сховищ Autofarm може стати метою для зловмисників. Beefy закликає всіх користувачів вивести кошти з них якомога швидше, щоб убезпечити свої вкладення.


***

Хронологія

14 лютого - Venus опублікувала План розвитку з інформацією про новий тариф.
30 березня - Спільнота Venus схвалив запропонований План розвитку.
15 квітня, 15:10 UTC - Venus створила пропозицію VIP12
20 квітня, 3:49 UTC - Beefy почав припиняти роботу деяких сховищ Venus.
20 квітня, 4:07 UTC - Beefy оголосив в своєму телеграм-каналі, що робота всіх сховищ Venus поставлена на паузу.
20 квітня 12:21 UTC - Venus завершила роботу VIP12
20 квітня, 15:21 UTC - Beefy почав моніторинг транзакцій
20 квітня 19:07 UTC - Beefy зауважив перші незвичайні дії з сховищами Venus (Auto).
20 квітня, 19:46 UTC - Beefy почав припиняти роботу сховищ Venus (Auto).
20 квітня, 20:12 UTC - Beefy оголосив в телеграм-каналі про припинення сховищ Venus (Auto).
20 квітня, 21:58 UTC - Autofarm оголосила в телеграм-каналі про плани зупинити сховища Venus і попросила користувачів вивести кошти.


15 квітня Venus представила пропозицію, в якому оплата VAI була ліквідована. Але з'явилася плата за мінтінг VAI і плата за викуп vToken для стабілізаційних ринків. 17 квітня розробники Beefy, які уважно стежили за оновленнями Venus, визначили ситуацію як потенційну проблему.

Beefy знали про ці зміни, розуміючи, що через нововведення Venus втратить 0,01% в процесі левереджа. 20 квітня в Beefy приступили до оновлення стратегій в своїх сховищах Venus, щоб уникнути втрати коштів для користувачів.

Пропозиція Venus було прийнято, а імплементація поставлена в чергу. 20 квітня Venus виконала свою пропозицію з запланованим підвищенням оплати.

Однак деякі платформи оптимізації прибутковості не оновлювали свої сховища. Ці зміни призвели до втрати коштів для користувачів DeFi, які розмістили свої активи безпосередньо в сховищах Venus Vaults і Belt Finance Stable.

З огляду на поточну реалізацію, сховища втрачають оплату, введену Venus, кожен раз, коли виконується виведення коштів.

Відсоток від суми ставки кожного користувача втрачається кожен раз, коли хтось знімає гроші.

Як тільки в Beefy дізналися про це, розробники запустили функцію Panic (), доступну у всіх сховищах, щоб автоматично повернути всі поставлені токени з порушених контрактів Autofarm назад в сховища Beefy. Це врятувало кошти користувачів від подальшого виснаження.

Відсутність заходів безпеки в коді Autofarm позбавила змоги їм виконати екстренне виведення коштів, що викликало каскад витоку, який все ще триває.

На Beefy.Finance постраждали такі сховища:

 

Що робити, якщо ви використовуєте сховище стейблкоїнов Belt на Beefy?


Якщо у вас були активи в сховищі стейблкоїнів BELT BLP на Beefy.Finance, і ви ще не зняли свої маркери, а потім конвертували токен LP в єдиний стейблкоїн на платформі Belt, то ваші кошти все ще знаходяться в небезпеці. Ми рекомендуємо вам негайно вивести їх з Beefy.Finance і Belt.fi.

Чим швидше ви це зробите, тим краще, тому що метод Panic () для цього сховища може тільки відключити додавання токенів BELT, а доходи Venus обробляються Belt, і вони як і раніше не фіксуються.

Ви повинні вийти з сховища Beefy.Finance, а потім перейти на Belt.fi і перетворити свій LP в окремий стейблкоїн. Якщо транзакція не вдалася, спробуйте вивести інший стейблкоїн. На момент написання DAI і USDT працюють.

Якщо ви хочете і далі отримувати відсотки від своїх стейблкоїнів, ви можете додати їх на Ellipsis.fi і безпечно розмістити свої маркери LP у відповідному сховищі Beefy Finance.


Що робити, якщо ви використовуєте одне з авто-сховищ Beefy (на Venus)?

Якщо у вас є активи, розміщені в одному зі сховищ Beefy Finance Venus (Auto), ризику втрати немає. Ваші маркери тепер зберігаються в бездіяльності в контрактах Beefy, що означає, що в даний час вони не приносять відсотків.


Чому Beefy не виправив цю проблему заздалегідь?

Оновлення смарт-контрактів Venus було схвалено 18 квітня. Нова стратегія сховища Beefy.Finance для обробки цих нових зборів перебувала в розробці, але цикл впровадження та тестування зайняв кілька днів.

Розробники Beefy захистили користувачів сховища Beefy.Finance Venus, знявши кошти користувачів з платформи Venus, і перевели їх тільки тоді, коли це було безпечно.


Тут можна ознайомитися з змінами в роботі смарт-контракту платформи Venus, яке призвело до зміни оплати:
 

Старий контролер: https://bscscan.com/address/0x8008a0897Eb2dF2C078034cA638B8f0c0a6aDE3b#code
Новий контролер: https://bscscan.com/address/0xBA469fbA7ea40D237B92bF30625513700f0afa47#code


Venus додала оплату в рядку 694 файлу vtoken.sol


З причини недавнього аудиту Certik для Autofarm і їх заяв про те, що контракти Venus V2 зможуть виконуватися з новою комісією Venus, Beefy припустили, що Autofarm V2 також захистить кошти користувачів.

Autofarm ніколи не розмовляв безпосередньо з Beefy про свої стратегії V2. Інформація про їхню реакцію на зміни була зібрана з їх спілкування з користувачами Autofarm через Telegram і Discord.

Один з модераторів Beefy безпосередньо розмовляв з командою Belt. У Belt підтвердили, що їх контракти зможуть виконуватися з новою комісією Venus. На жаль, це було не зовсім точно.


Прикінцеві роздуми

Beefy неодноразово розчаровувалися відсутністю прозорості і спотворенням інформації в Autofarm, і настійно закликають працювати над поліпшенням комунікації на благо спільноти BSC. Цей момент був зазначений в звіті про інцидент 20 лютого.

Незважаючи на те, що Autofarm написав у Твіттері , що кошти користувачів в безпеці, користувачі їх сховищ і раніше втрачають вартість.

Також існує ймовірність того, що зловмисники можуть прискорити витік. Подібна манера зв'язку надає DeFi і BSC величезну ведмежу послугу. Beefy сподівається допомогти всім командам розробників підвищити стандарти безпеки для зростаючої спільноти користувачів DeFi.

Beefy є чому повчитися з цього інциденту. Головне питання - це комунікація.

Beefy дуже старається її поліпшити. І з точки зору швидкості, з якою Beefy відповідає, і з точки зору того, наскільки ясно намагається пояснити складні речі. Для цього відкрито твіттер Beefy Learn, і зовсім скоро з'являться навчальні відео.

Переклав: Денис Мартинов

Ірина Костюченко

Найпопулярніше