Опечатка стала причиной вечной заморозки 30,000 долларов в Ethereum

DeFi (децентрализованные финансы) уже переживали свою долю эксплойтов, но инцидент с Hegic выходит за рамки обыденных. Не было ни вируса, ни хакера, который бы атаковал протокол – сейчас виновником этой потери средств стала банальная опечатка.

Вместо «OptionsID», строки кода, которая разблокирует ликвидность, разработчик написал и опубликовал «OptionID». Одна пропущенная буква «s» в строке кода привела к неправильной работе функции разблокировки ликвидности. В результате этого пользователи могут снять свои средства, но активы не могут быть разблокированы после истечения срока действия опций.

Молли Винтермут, создатель и единственный разработчик для Hegic, сразу же выпустила предупреждения на Discord, Twitter и Telegram, когда обнаружила ошибку, пообещав снова восстановить целостность поставщиков ликвидности, возместив премии и любые убытки по существующим позициям. Три колла и 16 путов, в общей сложности 19 опционов, остались замороженными, заблокировав почти 30,000 долларов в ETH навсегда.

Однако история еще далека от завершения.

Дэн Гвидо, генеральный директор Trail of Bits, обратился к Twitter, чтобы прояснить детали происшествия после того, как его компания подверглась критике за просмотр кода Hegic.

Гвидо заявил, что проверка кода – это не сертификация безопасности, а скорее основа для разработчиков, чтобы понять недостатки их кода и исправить их. Он также указал, что у Trail of Bits было мало времени для внимательного аудита кода Hegic.

Тем не менее, Винтермут сказала, что она просила провести однонедельный обзор, и спросила, будет ли аудит безопасности полным или частичным, согласно серии обнародованных сообщений.

Фирма заявила, что трехдневного анализа кода будет достаточно, чтобы обеспечить «хорошее покрытие смарт-контрактов». Разработчик Hegic также заявил, что она реализовала предложения, которые подтверждаются кратким обзором кода.

Интеллектуальные проверки контрактов уже давно признаны экспертами по безопасности.

Однако этот инцидент подтверждает, что проверки представляют собой сводку для разработчиков по улучшению их кода, а не документ, в котором говорится, что «этот код готов к массовому потреблению».

Для опытных пользователей, которые могут самостоятельно проверять код, это не проблема, поскольку они могут находить ошибки и потенциальные векторы атак. Но для тех, кто с технической точки зрения не может полноценно проверить системы, жизнеспособной альтернативы еще не существует.

Компании, занимающиеся аудитом смарт-контрактов, понимают, что обычные пользователи не имеют надежного источника рейтингов безопасности протоколов. В ответ на это несколько аудиторов, в том числе ConsenSys и MythX, запустили Ethereum Trust Alliance, чтобы начать предоставлять интеллектуальные рейтинги безопасности для рядового пользователя.

Это шаг в правильном направлении, так как он предложит пользователям простую информацию для оценки протокольных рисков.