Spis treści
AKTUALIZACJA: Aave odpowiedział z opisem problemu i twierdzi, że usunął „odkurzone” adresy z zakazu; użytkownicy zgłaszają odzyskanie dostępu do interfejsu Aave.
Kilka zdecentralizowanych aplikacji w sieci Ethereum wdrożyło zmiany w kodzie, aby odebrać dostęp z „usankcjonowanych” adresów. Obecnie zidentyfikowane protokoły to Aave, Uniswap, Ren, Oasis i balancer. Banteg z firmy Yearn zidentyfikował repozytoria GitHub, o których mowa, za pośrednictwem tweeta wczesnym rankiem w sobotę.
kiedy defi aplikacje zaczęły czepiać się na ciebie z linkami
2021-10-25 uniswap https://t.co/ym0wdNPJS6
2022-05-10 ren https://t.co/9588mTitKe
2022-06-29 balanser https://t.co/5V1FaxPUOn
2022-08-11 oaza https://t.co/GzkOQXXPb9
2022-08-12 śr https://t.co/vYY8MjqZ1p
(nigdy) tęsknota, krzywa pic.twitter.com/1FkgVPnUqb— banteg (@bantg) 12 sierpnia 2022
Sankcjonowanie adresów „sprawdzonych”.
„Kontrola adresów”, która została wdrożona, obraca się wokół TRM Labs, firmy zapewniającej zgodność, oferującej usługi dApps za pośrednictwem interfejsu API. Strona na Strona internetowa TRM Labs odnosi się do narzędzia jako obowiązującego dla „nowych oznaczeń związanych z Rosją”.
Jednak po sankcjonowaniu przez OFAC wszystkich adresów związanych z Tornado Cash wydaje się, że użytkownicy, którzy weszli w interakcję z Tornado Cash, są teraz również oznaczani jako „sankcjonowani”, a tym samym zablokowani na platformach korzystających z API TRM Labs.
Sankcje nie są nakładane na adresy związane z Rosją, ale na wszystkich użytkowników, w tym obywateli Stanów Zjednoczonych, którzy kiedykolwiek otrzymali środki z adresu Tornado Cash.
Biorąc pod uwagę niedawny atak na głośne adresy, takie jak Brian Armstrong, Justin Sun i kilka firm VC, wydaje się, że zostały one zablokowane przed Aave, Uniswap i innymi aplikacjami przy użyciu TRM Labs.
Ataki pyłowe powodują głośne zakazy
Tweet autorstwa założyciela Tron, Justina Sun, zwrócił uwagę na problem, ponieważ twierdzi, że nie jest teraz w stanie wchodzić w interakcje z Aave. Słońce tweetował że Aave zablokował jego konto po tym, jak otrzymał 0,1 ETH z losowego konta za pośrednictwem Tornado Cash.
Tekst na zrzucie ekranu udostępnionym tweetowi brzmi: „Ten adres jest zablokowany na app.aave.com, ponieważ jest powiązany z co najmniej jedną blokowaną aktywnością”.
#PeckShieldAlert Otrzymano ponad 600 adresów 0,1 $ETH z https://t.co/LLczi0PVvh: Kontrakt 0,1 ETH, który został dodany do listy sankcji OFAC, w tym wielkich nazwisk i scentralizowanych giełd.
Niektórzy użytkownicy twierdzili, że zostali zablokowani przez @AAveaave z powodu „zrzutu”. pic.twitter.com/cB4M5T29Ya— PeckShieldAlert (@PeckShieldAlert) 13 sierpnia 2022
Według Alarm PeckShieldponad 600 adresów ENS otrzymało 0,1 ETH od Tornado Cash, a wielu z tych, którzy otrzymali fundusz, zostało zablokowanych przez Aave.
Decyzja Aave o zablokowaniu tych kont wynika z decyzji Biura Kontroli Aktywów Zagranicznych Departamentu Skarbu USA (OFAC) o zakazie Tornado Cash. OFAC zbanował Tornado Cash, powołując się na kilka powiązanych adresów, twierdząc, że używa go północnokoreańska grupa hakerów Lazarus.
Po zakazie GitHub dezaktywował konto twórcy Tornado Cash. Strona miksera kryptowalut i serwer Discord również przeszły do trybu offline. Jeden z jego twórców został aresztowany w Holandii.
Chociaż wielu krytykowało ruch GitHub, nikt nie spodziewał się, że zdecentralizowana platforma, która nie podlega bezpośrednio amerykańskim przepisom, będzie blokować jakikolwiek adres związany z Tornado Cash.
Wygląda jednak na to, że Aave nie jest jedyną platformą Defi, która przestrzega zakazu. Definiowanie wymiany, dYdX zablokował również adresy, które w przeszłości wchodziły w interakcję z Tornado Cash.
Ruch ten dotknął kilka kont, w tym użytkowników, którzy nie wchodzili w interakcję z Tornado Cash, a nawet znali pochodzenie środków, które otrzymali w różnych przeszłych transakcjach.
Założyciel Assure, platformy DeFi KYC, powiedział CryptoSlate: „Otworzyliśmy puszkę Pandory. Gdzie to się skończy? On kontynuował,
„Niedawne sankcje OFAC na Tornado Cash i aresztowanie dewelopera są bardzo niepokojące. Koncepcja zakazu i sankcjonowania kodu open source w Internecie z rzeczywistym przypadkiem użycia jest całkowicie sprzeczna z etosem WEB3.
To znowu Jedwabny Szlak i wiemy, jak to się potoczyło. Ross Ulbricht wciąż gnije w więzieniu, odkąd został skazany w 2015 roku”.
Dalsze zarażanie
W odpowiedzi na tweet Justina Suna, Alex i Omega wskazali na potencjalny przepływ pracy, który może spowodować rozprzestrzenianie się zarazy w ekosystemie DeFi, jak pokazano poniżej. Biorąc pod uwagę obecną implementację, istnieje obawa, że złośliwy gracz może wysłać Ethereum za pośrednictwem Tornado Cash do portfeli z dużymi pożyczkami, aby wywołać zdarzenie likwidacyjne.
1. Zidentyfikuj wszystkie główne pożyczki na @AAveaave i zaplanuj ewentualną kaskadę likwidacyjną
2. Wyślij ETH z @TornadoCash do wszystkich portfeli z dużymi pożyczkami
3. Niech AAVE blokuje wszystkie portfele
4. Krótki ETH
5. Zainicjuj zrzut ETH
…
6. Obserwuj kaskadę likwidacji i nikt nie może nic zrobić. o tym— αlex | αlex i Ωmega (@alexandomega) 13 sierpnia 2022
Jeśli portfele z aktywnymi pożyczkami zostaną zablokowane w Aave, nie będą w stanie dodać dodatkowego kapitału, aby zarządzać swoim LTV. W rezultacie, gdyby cena aktywów bazowych spadła, może dojść do istotnej likwidacji, ponieważ użytkownicy nie będą mogli uzyskać dostępu do swoich kont.
Jest to mało prawdopodobne w praktyce, ponieważ protokoły mają obowiązek wobec swoich użytkowników umożliwić im dostęp do ich funduszy. Jednak, ponieważ komunikat o błędzie pojawia się w tweecie Suna, wydaje się, że blokowany jest tylko interfejs aplikacji.
Użytkownicy mogą mieć możliwość interakcji z protokołami za pośrednictwem interfejsu wiersza polecenia lub rozwidlenia projektu, aby utworzyć interfejs użytkownika. To jest poza zasięgiem wielu użytkowników, ale ci, którzy mają znaczne fundusze, powinni mieć dostęp do zablokowanych zasobów za pomocą tej metody.
Poszukiwanie zakazu Sun adres portfela „0x3ddfa8ec3052539b6c9549f12cea2c295cff5296” wskazuje, że ma ponad 100 milionów dolarów w tokenach Aave. Posiada 91 milionów dolarów ATUSD, 58 milionów dolarów aUSDC i 19 milionów dolarów aDAI. Wydaje się, że tych środków nie można obecnie odzyskać za pośrednictwem interfejsu użytkownika Aave.
Podejście TRM Labs
Największym problemem jest jednak to, w jaki sposób TRM Labs decyduje, co stanowi adres objęty sankcjami. Jeśli portfel otrzymuje środki bezpośrednio z Tornado Cash, istnieje bezpośrednia korelacja. Co się jednak stanie, jeśli użytkownik wyśle wspomniane środki na DEX i zamieni się na inny token? Czy portfel biorący udział w wymianie będzie teraz również uważany za portfel objęty sankcjami? Jest to realna możliwość, jeśli jest w posiadaniu ETH, który kiedyś przeszedł przez Tornado Cash.
Wykres stworzony przez ElBarto Crypto, analityka Block119, pokazuje, że 90% adresów Ethereum ma tylko cztery stopnie oddzielenia od Tornado Cash, z 41% w obrębie zaledwie dwóch stopni.
Sześć stopni gotówki tornado to rzecz. Jeszcze bardziej szalony, podczas gdy tylko 0,03% adresów otrzymało ETH z gotówki tornado, prawie połowa całej sieci ETH to tylko dwa przeskoki z kasy tornado. pic.twitter.com/LDU9g0r7tQ
— ElBarto_Crypto (@ElBarto_Crypto) 13 sierpnia 2022
Potencjał, że miliardy ETH zostaną „wpisane na czarną listę” jest realną możliwością w wyniku sankcji OFAC. TuongVy Le, szef działu regulacji i polityki w Baincap Crypto, powiedział CryptoSlate:
„To jest problem. Potrzebne są standardy i przejrzystość co do tego, w jaki sposób wszyscy musimy przestrzegać tej bezprecedensowej i nowatorskiej sankcji dotyczącej inteligentnych kontraktów i portfeli TC”.
TuongVy Le, który jest byłym SEC, skomentował podejście TRM Labs do kwestii zgodności spowodowanej przez OFAC:
„Wygląda na to, że TRM przyjmuje ekspansywne podejście, co jest zrozumiałe, ponieważ naruszenia sankcji są poważne i istnieje duża niepewność co do tego, jak ma to zastosowanie w tym przypadku. Jednocześnie myślę, że musimy zapytać, czy istnieje nieodłączny konflikt interesów, gdy ci dostawcy zgodności wykonują pracę zarówno dla sektora prywatnego, jak i dla rządu”.
W odpowiedzi na pewne obawy, że omawiane protokoły DeFi mogą wysyłać dane użytkownika do OFAC, Balancer potwierdził, że „adresy użytkowników” zostaną wysłane do „federów”, ale „nic więcej”.
Balancer wysyła tylko adresy użytkowników, absolutnie nic więcej. Nie wysyłamy adresów IP ani dodatkowych informacji.
— Balancer Labs (@BalancerLabs) 12 sierpnia 2022
Programista równoważenia, Tim Robinson, skomentował dalej, że wszystkie dane są przesyłane przez „lambda, więc adresy IP użytkowników nie są wysyłane do TRM”.
tekst prawny != implementacja kodu
Wszystkie żądania TRM przechodzą przez lambda, więc adresy IP użytkowników nie są wysyłane do TRM: https://t.co/J4HkQfzdaN
Lambda: https://t.co/SpXsy4pdB9
Wszystko jest open source
— Tim Robinson (@timjrobinson) 13 sierpnia 2022
W chwili pisania tego tekstu incydenty nie miały widocznego wpływu na cenę Ethereum ani na szersze rynki kryptowalut. Ethereum znajduje się tuż poniżej 2,00 USD po tym, jak w nocy ostatecznie przełamał psychologiczny opór.
CryptoSlate dotarł do platform, z którymi mamy bezpośredni kontakt. Obecnie nie ma odpowiedzi, ale ten artykuł zostanie zaktualizowany, gdy dostępnych będzie więcej informacji.
