" DeFi (децентрализованные финансы) уже переживали свою долю эксплойтов, но инцидент с Hegic выходит за рамки обыденных. Не было ни вируса, ни хакера, который бы атаковал протокол - сейчас виновником этой потери средств стала банальная опечатка.
Вместо «OptionsID», строки кода, которая разблокирует ликвидность, разработчик написал и опубликовал «OptionID». Одна пропущенная буква «s» в строке кода привела к неправильной работе функции разблокировки ликвидности. В результате этого пользователи могут снять свои средства, но активы не могут быть разблокированы после истечения срока действия опций.
Молли Винтермут, создатель и единственный разработчик для Hegic, сразу же выпустила предупреждения на Discord, Twitter и Telegram, когда обнаружила ошибку, пообещав снова восстановить целостность поставщиков ликвидности, возместив премии и любые убытки по существующим позициям. Три колла и 16 путов, в общей сложности 19 опционов, остались замороженными, заблокировав почти 30,000 долларов в ETH навсегда.
Однако история еще далека от завершения.
Дэн Гвидо, генеральный директор Trail of Bits, обратился к Twitter, чтобы прояснить детали происшествия после того, как его компания подверглась критике за просмотр кода Hegic.
Гвидо заявил, что проверка кода - это не сертификация безопасности, а скорее основа для разработчиков, чтобы понять недостатки их кода и исправить их. Он также указал, что у Trail of Bits было мало времени для внимательного аудита кода Hegic.
Тем не менее, Винтермут сказала, что она просила провести однонедельный обзор, и спросила, будет ли аудит безопасности полным или частичным, согласно серии обнародованных сообщений.
Фирма заявила, что трехдневного анализа кода будет достаточно, чтобы обеспечить «хорошее покрытие смарт-контрактов». Разработчик Hegic также заявил, что она реализовала предложения, которые подтверждаются кратким обзором кода.
Вера пользователя в протоколы DeFi
Интеллектуальные проверки контрактов уже давно признаны экспертами по безопасности.
Однако этот инцидент подтверждает, что проверки представляют собой сводку для разработчиков по улучшению их кода, а не документ, в котором говорится, что «этот код готов к массовому потреблению».
Для опытных пользователей, которые могут самостоятельно проверять код, это не проблема, поскольку они могут находить ошибки и потенциальные векторы атак. Но для тех, кто с технической точки зрения не может полноценно проверить системы, жизнеспособной альтернативы еще не существует.
Компании, занимающиеся аудитом смарт-контрактов, понимают, что обычные пользователи не имеют надежного источника рейтингов безопасности протоколов. В ответ на это несколько аудиторов, в том числе ConsenSys и MythX, запустили Ethereum Trust Alliance, чтобы начать предоставлять интеллектуальные рейтинги безопасности для рядового пользователя.
Это шаг в правильном направлении, так как он предложит пользователям простую информацию для оценки протокольных рисков.
