Объяснение поломки.
Децентрализованный финансовый сервис по оптимизации доходности Beefy.Finance сообщил о проблемах, вызванных обновлением системы Venus.
Beefy.Finance - финалист первого раунда программы Most Valuable Builder, непосредственно представленный в экосистеме Binance.
Представляем вашему вниманию перевод отчета.
Что произошло, коротко?
Підписуйтеcь на наш Telegram-канал Lenta.UA - ЄДИНІ незалежні новини про події в Україні та світі
Несколько хранилищ оптимизатора доходности были затронуты обновлением одного из процессов исполнения контрактов.
Beefy был вынужден приостановить работу хранилищ (vaults) Beefy.Finance, которые работают напрямую с платформой Venus. Это предотвратило утечку средств пользователей.
Сотрудники Beefy наблюдали за поведением кода хранилищ Autofarm во время реализации протокола Venus, и отреагировали на проблему своевременно. Как только средства начали терять стоимость на Autofarm и Belt, и еще до начала каких-либо сообщений от пользователей, со стороны Beefy были приняты меры безопасности.
Разработчики Beefy обнаружили, что пользователи хранилищ на Beefy.Finance все-таки пострадали. Были предприняты дополнительные меры безопасности для защиты средств в тех хранилищах Beefy.Finance, стоимость которых утекала через Autofarm и Belt.
Пользователи Beefy, тем не менее, должны также принять меры со своей стороны - в хранилище Belt BLP. И чем быстрее, тем лучше. Пользователи должны выйти из хранилища Beefy.Finance BLP, а затем также вывести свои стейблкоины из хранилища на Belt.fi.
Работа хранилищ Auto (Venus) на Beefy.Finance была приостановлена, и пользователи Beefy.Finance могут либо вывести средства из них, либо дождаться их включения. Активы в хранилищах Auto (Venus) не будут приносить проценты через Autofarm и Venus до дальнейшего уведомления.
Помимо этого, есть основания полагать, что уязвимость хранилищ Autofarm может стать целью для злоумышленников. Beefy призывает всех пользователей вывести средства из них как можно скорее, чтобы обезопасить свои вложения.
***
Хронология
14 февраля - Venus опубликовала План развития с информацией о новом тарифе.
30 марта - Сообщество Venus одобрило предложенный План развития.
15 апреля, 15:10 UTC - Venus создала предложение VIP12
20 апреля, 03:49 UTC - Beefy начал приостанавливать работу некоторых хранилищ Venus.
20 апреля, 04:07 UTC - Beefy объявил в своем телеграм-канале, что работа всех хранилищ Venus поставлена на паузу.
20 апреля 12:21 UTC - Venus завершила работу VIP12
20 апреля, 15:21 UTC - Beefy начал мониторинг транзакций
20 апреля 19:07 UTC - Beefy заметил первые необычные действия с хранилищами Venus (Auto).
20 апреля, 19:46 UTC - Beefy начал приостанавливать работу хранилищ Venus (Auto).
20 апреля, 20:12 UTC - Beefy объявил в телеграм-канале о приостановке хранилищ Venus (Auto).
20 апреля, 21:58 UTC - Autofarm объявила в телеграм-канале о планах остановить хранилища Venus и попросила пользователей вывести средства.
15 апреля Venus представила предложение, в котором оплата VAI была ликвидирована. Но появилась плата за минтинг VAI и плата за выкуп vToken для стабилизационных рынков. 17 апреля разработчики Beefy, которые внимательно следили за обновлениями Venus, определили ситуацию как потенциальную проблему.
Beefy знали об этих изменениях, понимая, что из-за нововведения Venus потеряет 0,01% в процессе левереджа. 20 апреля в Beefy приступили к обновлению стратегий в своих хранилищах Venus, чтобы избежать потери средств для пользователей.
Предложение Venus было принято, а имплементация поставлена в очередь. 20 апреля Venus выполнила свое предложение с запланированным повышением оплаты.
Однако некоторые платформы оптимизации доходности не обновляли свои хранилища. Эти изменения привели к потере средств для пользователей DeFi, которые разместили свои активы непосредственно в хранилищах Venus Vaults и Belt Finance Stable.
Учитывая текущую реализацию, хранилища теряют оплату, введенную Venus, каждый раз, когда выполняется вывод средств.
Процент от суммы ставки каждого пользователя теряется каждый раз, когда кто-то снимает деньги.
Как только в Beefy узнали об этом, разработчики запустили функцию Panic (), доступную во всех хранилищах, чтобы автоматически вернуть все поставленные токены из затронутых контрактов Autofarm назад в хранилища Beefy. Это спасло средства пользователей от дальнейшего истощения.
Отсутствие мер безопасности в коде Autofarm не позволило им выполнить экстренный вывод средств, что вызвало каскад утечки, которая все еще продолжается.
На Beefy.Finance пострадали следующие хранилища:
Что делать, если вы используете хранилище стейблкоинов Belt на Beefy?
Если у вас были активы в хранилище стейблкоинов BELT BLP на Beefy.Finance, и вы еще не сняли свои токены, а затем конвертировали токен LP в единый стейблкоин на платформе Belt, то ваши средства все еще находятся в опасности. Мы рекомендуем вам немедленно вывести их из Beefy.Finance и Belt.fi.
Чем быстрее вы это сделаете, тем лучше, потому что метод Panic () для этого хранилища может только отключить сложение токенов BELT, а доходы Venus обрабатываются Belt, и они по-прежнему не фиксируются.
Вы должны выйти из хранилища Beefy.Finance, а затем перейти на Belt.fi и преобразовать свой LP в отдельный стейблкоин. Если транзакция не удалась, попробуйте вывести другой стейблкоин. На момент написания DAI и USDT работают.
Если вы хотите и дальше получать проценты от своих стейблкоинов, вы можете добавить их на Ellipsis.fi и безопасно разместить свои токены LP в соответствующем хранилище Beefy Finance.
Что делать, если вы используете одно из авто-хранилищ Beefy (на Venus)?
Если у вас есть активы, размещенные в одном из хранилищ Beefy Finance Venus (Auto), риска потери нет. Ваши токены теперь хранятся в бездействии в контрактах Beefy, что означает, что в настоящее время они не приносят процентов.
Почему Beefy не исправил эту проблему заранее?
Обновление смарт-контрактов Venus было одобрено 18 апреля. Новая стратегия хранилища Beefy.Finance для обработки этих новых сборов находилась в разработке, но цикл внедрения и тестирования занял несколько дней.
Разработчики Beefy защитили пользователей хранилища Beefy.Finance Venus, сняв средства пользователей с платформы Venus, и перевели их только тогда, когда это было безопасно.
Здесь можно ознакомиться с изменениями в работе смарт-контракта платформы Venus, которое привело к изменению оплаты:
Старый контроллер: https://bscscan.com/address/0x8008a0897Eb2dF2C078034cA638B8f0c0a6aDE3b#code
Новый контроллер: https://bscscan.com/address/0xBA469fbA7ea40D237B92bF30625513700f0afa47#code
Venus добавила оплату в строке 694 файла vtoken.sol
В виду недавнего аудита Certik для Autofarm и их заявлений о том, что контракты Venus V2 смогут выполняться с новой комиссией Venus, Beefy предположили, что Autofarm V2 также защитит средства пользователей.
Autofarm никогда не разговаривал напрямую с Beefy о своих стратегиях V2. Информация об их реакции на изменения была собрана из их общения с пользователями Autofarm через Telegram и Discord.
Один из модераторов Beefy напрямую разговаривал с командой Belt. В Belt подтвердили, что их контракты смогут выполняться с новой комиссией Venus. К сожалению, это было не совсем точно.
Заключительные размышления
Beefy неоднократно разочаровывались отсутствием прозрачности и искажением информации в Autofarm, и настоятельно призывают работать над улучшением коммуникации на благо сообщества BSC. Этот момент был указан в отчете об инциденте 20 февраля.
Несмотря на то, что Autofarm написал в Твиттере, что средства пользователей в безопасности, пользователи их хранилищ по-прежнему теряют стоимость.
Также существует вероятность того, что злоумышленники могут ускорить утечку. Подобная манера связи оказывает DeFi и BSC огромную медвежью услугу. Beefy надеется помочь всем командам разработчиков повысить стандарты безопасности для растущего сообщества пользователей DeFi.
Beefy есть чему поучиться из этого инцидента. Главный вопрос - это коммуникация.
Beefy очень старается ее улучшить. И с точки зрения скорости, с которой Beefy отвечает, и с точки зрения того, насколько ясно пытается объяснить сложные вещи. Для этого открыт твиттер Beefy Learn, и совсем скоро появятся обучающие видео.
Перевел: Денис Мартынов
Новости
Будет ли наступление на Херсон, ответили в СНБО
18:15 26 дек 2024.
Украина получила почти два миллиарда
17:55 26 дек 2024.
Ученые прогнозируют извержение супервулкана
17:45 26 дек 2024.
Туск раскритиковал Орбана
17:30 26 дек 2024.
Оккупанты ударили КАБами по Харьковщине
17:15 26 дек 2024.
Взятка в $1 миллион: скандальный однопартиец Кличко арестован
16:55 26 дек 2024.
Суд конфисковал имущество скандального телеведущего
16:15 26 дек 2024.
Враг массированно обстреливает Сумскую область
15:55 26 дек 2024.
Работник ТЦК избил мужчину в Винницкой области
15:30 26 дек 2024.