Análisis profundo de DeFi – ¿Qué es Pickle Finance?

Cualquiera que esté atento al sector financiero descentralizado sabrá que la popularidad de DeFi sigue creciendo. Sin embargo, la premisa de Pickle Finance fue que los fundadores de Pickle Finance notaron que el rendimiento agrícola no se ha vuelto más fácil. Vieron muchos protocolos que ofrecían rendimientos generosos, pero les resultó difícil evaluar cuáles eran sostenibles y confiables. Con todas las “estafas de salida”, los “tirones de alfombras” y los trucos directos, sabían que era difícil para los recién llegados averiguar en qué plataformas podían confiar.

Con eso en mente, Pickle Finance quería crear un protocolo DeFi generador de rendimiento que obtuviera los mejores rendimientos para sus usuarios, pero también uno que fuera fácil de usar. Como tal, nacieron los inicios del protocolo de gestión de activos en cadena Pickle.Finance, comúnmente conocido como Pickle Finance.

Como sabrá cualquiera en la industria financiera descentralizada, el sector DeFi está en auge. Sin embargo, cuando se trata de invertir, la gente debería ver a través del bombo publicitario. El mejor consejo cuando se trata de comprender los proyectos y protocolos de DeFi es tener una educación sólida en blockchain. Ivan on Tech Academy es una de las principales plataformas educativas de blockchain, y ya se han inscrito más de 30.000 estudiantes en la Academia. ¡Comience su viaje de blockchain hoy con Ivan en Tech Academy!

Productos de encurtidos

Por lo tanto, comprender Pickle Finance requiere que primero echemos un vistazo a la oferta de productos de Pickle Finance. Estos son los productos esenciales que componen la suite Pickle Finance:

  • Encurtidos

PickleJars es el lugar donde los robots de cultivo de rendimiento Pickle van a trabajar para obtener beneficios de los depósitos de los usuarios. Obtenga más información sobre PickleJars aquí.

  • PickleFarm

Este es el lugar para ganar tokens PICKLE en los grupos de minería de liquidez. Obtenga más información sobre PickleFarm aquí.

  • PickleStake

PickleStake es donde los usuarios van a ganar WETH apostando tokens PICKLE. Vaya aquí cuando esté listo para apostar PICKLE y apilar WETH. Sin embargo, para intercambiar tokens PICKLE, el mejor lugar es Uniswap.

Pickle determina las recompensas WETH distribuidas semanalmente. Y van a los apostadores en función de los ingresos generados por Pickle Finance, pero solo después de que supere el límite del Tesoro de $ 500K.

  • PickleSwap

PickleSwap es donde los usuarios cambian de un PickleJar a otro.

Más acerca de PickleJars

En el momento de escribir este artículo, se encuentran en funcionamiento ocho PickleJars. Cada PickleJar (pJar) funciona de la misma manera pero usa una estrategia diferente:

Deposita fondos en un pJar y recibe pTokens.
La estrategia pone sus fondos a trabajar para generar retornos.
Los retornos vuelven al grupo, lo que hace que sus pTokens se aprecien.

Algunos de los diferentes frascos de pepinillos

pJar 0,00 (a, b, c):

Estos son los Curve Jars, y cultivan CRV. Puede depositar DAI, sUSD, USDC y USDT en el grupo de sUSD de Curve. En el grupo renBTC de Curve, puede depositar renBTC o wBTC. Y para 3pool de Curve, puede depositar DAI, USDC o USDT.

Además, puede ganar recompensas PICKLE depositando sus pTokens (excepto psCRV) en la Granja.

pJar 0,69 (a, b, c, d):

Estos son los Uniswap Jars, y cultivan UNI. Pickle participa en cuatro grupos de Uniswap. Depositar en uno de estos grupos devuelve tokens pUNI.

Con los tokens del proveedor de liquidez, pJar 0.69 recibe y reinvierte recompensas UNI. Entonces, si inviertes en este Jar, terminas con más tokens pUNI de los que tenías al principio. Al igual que con el pJar 0.00, puede ganar recompensas PICKLE depositando sus pTokens en la Granja.

pJar 0.88:

Este pJar es el Compuesto Jar, que, como era de esperar, cultiva COMP. Usando las monedas base depositadas, DAI, USDC y USDT, este pJar recibe y reinvierte COMP por usted. Entonces, una vez más, terminará con más moneda subyacente de la que tenía al comienzo. Obtiene rendimiento al suministrar y tomar prestados activos en Compuesto para obtener tokens COMP.

Por supuesto, usted mismo podría descubrir cómo hacer estas estrategias de cultivo de rendimiento, pero aprovechar el COMP de minería puede ser peligroso después de alcanzar un cierto umbral. Es por eso que el equipo de Pickle inventó los pJars en primer lugar. Para ayudarlo a reinvertir automáticamente sus ganancias para optimizar las estrategias de mayor rendimiento.

Replanteo

Además, una vez que haya recibido pTokens por depositar activos en los pJars, puede apostarlos en las granjas y recibir recompensas de tokens PICKLE. Simplemente visite la página PickleFarms y seleccione la granja con el mismo pToken que ya posee. Desde allí, elija la cantidad que desea apostar y haga clic en “Apuesta”. Aquí hay más información sobre cómo depositar en pJars.

Cultivo de encurtidos

No hay límite en el suministro de fichas de PICKLE, y las PickleFarms están ahí para que obtengas recompensas de PICKLE. Diferentes granjas requieren diferentes tokens, pero el grupo Uniswap PICKLE / ETH 50:50 es la principal fuente de liquidez para los tokens PICKLE.

Los proveedores de liquidez del grupo Uniswap reciben el 70% de las emisiones de tokens de PICKLE. Este porcentaje se puede cambiar en el futuro por la gobernanza, pero por ahora, este es el grupo de energía.

Para acumular tokens PICKLE en este grupo, debe suministrar liquidez al grupo PICKLE / ETH, lo que significa entregar tokens PICKLE y ETH a Uniswap. Los otros grupos agrícolas requieren apostar pTokens. Puede obtener estos tokens depositando fondos en un pJar. Obtenga más información sobre PickleFarms aquí.

Gobernanza financiera de Pickle

La comunidad de Pickle Finance y los proveedores de liquidez de PICKLE / ETH darán forma al futuro del protocolo. Su sistema de gobierno utiliza el voto cuadrático, que promete ofrecer una forma de gobierno más democrática. Los principios del mercado impulsan la votación cuadrática, en la que cada votante obtiene un presupuesto de votos para distribuir y expresar sus deseos con más fuerza.

Por ejemplo, digamos que cada votante obtiene 20 créditos de voto para gastar en 20 temas. Podrían votar una vez sobre cada tema, o podrían asignar los 20 créditos de voto a un tema y omitir los demás. Podrían hacer eso si se preocupan mucho por un punto. Por lo tanto, lo interesante de la votación cuadrática es que permite a los votantes expresar el grado de su sentimiento, no solo la dirección.

¿Está confundido por la noción de gobernanza? Si es así, debería echar un vistazo a Ivan en Tech Academy. Ivan on Tech Academy ofrece docenas de cursos de blockchain, que abarcan todo, desde DeFi hasta gobernanza, de una manera fácil de entender.

Seguridad Pickle

Para citar su informe técnico, “Todas las funciones de administración clave en el contrato de MasterChef, que controla la emisión de PICKLEs a las granjas, se controlan mediante un contrato de bloqueo de tiempo de 24 horas. Un contrato de bloqueo de tiempo de 12 horas controla todas las funciones de administración clave en relación con los PickleJars. Cada uno de los contratos de bloqueo de tiempo anteriores debe ejecutarse a través de una billetera comunitaria de 3/6 firmas múltiples “. Recuerde esta característica para la siguiente sección.

Pickle Finance ha sido objeto de una auditoría de MixBytes y una auditoría preliminar de Haechi. No encontraron problemas críticos en los contratos inteligentes. Sin embargo, la auditoría descubrió algunas funciones de proxy sospechosas. Los desarrolladores de Pickle los defendieron, sin embargo, como necesarios y seguros debido a la protección de bloqueo de tiempo de 12 horas.

Pero como discutimos en nuestro artículo de Smart Contract Security, las auditorías no siempre encuentran todas las fallas de código. Y, desafortunadamente, Pickle Finance se convirtió en la última víctima de la epidemia de ataques de pirateo de DeFi. Sin embargo, este truco era diferente del exploit de arbitraje estándar.

El truco financiero de Pickle

El 21 de noviembre de 2020, un atacante aprovechó dos errores en el contrato inteligente del controlador, drenando con éxito 19,7 millones de DAI del pDAI Jar utilizando un llamado pJar falso o “Evil Jar”.

Para comprender mejor el truco, sepa que los pJars son versiones bifurcadas de Yearn Vaults v1 con algunas modificaciones. Y un contrato llamado “Controller” controla los pJars con la última versión que permite intercambios directos entre Jars. El hacker aprovechó esta funcionalidad de “intercambio” y otras fallas de diseño para ejecutar el ataque.

Entonces, este controlador tiene una función que permite intercambios de activos entre jarras, pero como se mencionó, tenía dos errores en la lógica. Para ser más especifico:

  • El primer problema fue un error de validación de entrada que no validaba si un jar en particular era compatible o no.
  • El segundo error fue una ejecución de código arbitrario que permitió la ejecución de código no confiable con respecto al controlador.

Comienza el exploit

Entonces, el hacker consultó el saldo de activos para encontrar que había 19.7 millones de DAI disponibles. A continuación, creó un Jar falso aprovechando el error de validación e intercambió fondos del Jar original. Como no había una “lista blanca”, por así decirlo, el Controlador no verificó que el Evil Jar fuera legítimo. Por lo tanto, se permitió que continuaran las funciones de retiro y depósito de tokens.

El pirata informático llamó a la función ganar () tres veces (observe el índice de garantía en efecto):

  • La primera convocatoria de ganancia () invierte 19,7 millones de DAI y acuña 903 millones de cDAI.
  • La segunda convocatoria de ganancia () invierte 988.000 DAI y acuña 45 millones de cDAI.
  • La tercera convocatoria de ganancia () invierte 49.000 DAI y acuña 2 millones de cDAI.

Luego, el atacante aprovechó la ejecución de código arbitrario para retirar todos los cDAI. Una vez que el controlador tuvo el cDAI, llamó a la función EvilJar.deposit () para transferir los fondos al contrato inteligente del hacker. Luego, el atacante canjeó el cDAI por 19,7 millones de DAI y lo trasladó a su billetera.

Llamando a todos los sombreros blancos

Afortunadamente, el equipo de desarrolladores de Pickle Finance no se enorgulleció demasiado de pedir ayuda, y convocaron una sala de guerra con desarrolladores de Stake Capital, Yearn Finance y otros para intentar salvar el día.

Mientras los sombreros blancos en la sala de guerra trabajaban, se hizo evidente que el atacante sabía lo que hacía y era un experto en Solidity y EVM. También es probable que ya hubiera explorado el código de Yearn, ya que la vulnerabilidad era similar a lo que plagó el código de Yearn anteriormente.

El equipo intentó llamar a la función “retirar todo” para vaciar los frascos y detener el sangrado. Sin embargo, eso falló ya que la solicitud tuvo que pasar por el DAO de Gobernanza, que tenía un bloqueo de tiempo de 12 horas. Y la única persona con el poder de eludir el bloqueo de tiempo era un miembro del multisig que estaba profundamente dormido. No es de extrañar, ya que el equipo de Pickle reside en todo el mundo en diferentes zonas horarias.

Dado que el equipo no pudo vaciar inmediatamente los pJars, tuvieron que hacer correr la voz a sus usuarios para que retiraran sus fondos y evitar que se realizaran más depósitos. Continuaron con esto mientras el equipo de sombrero blanco continuaba investigando la hazaña.

La solución

Entonces, el equipo tuvo que librar una guerra en múltiples frentes. Tuvieron que realizar controles de seguridad en los otros pJars para asegurarse de que no fueran también vulnerables. Y tuvieron que “piratear” el pJar antes de que los verdaderos piratas lo atacaran de nuevo. Por último, tenían que lograr esto al mismo tiempo que intentaban evitar que los mineros oportunistas los adelantaran mientras intentaban rescatar los fondos restantes.

Los desarrolladores de la sala de guerra finalmente replicaron el exploit con éxito, y la solución estaba lista. A través de la función de gobierno múltiple, el equipo de Pickle Finance llamó a la función setMin (0) en el pDAI Jar sin esperar un bloqueo de tiempo. Afortunadamente, desactivaron los depósitos del frasco de pDAI, aunque todavía eran 19,7 millones de DAI más ligeros.

Auditorías de seguridad

Si lee nuestro artículo sobre Smart Contract Security, sabrá que el mantra de desarrollo de software ágil de moverse rápidamente, fallar rápido y corregir el código defectuoso más tarde no funciona en DeFi. Hay una etiqueta de precio grande adjunta al código de error de envío en DeFi. Irónicamente, tanto MixBytes como Haechi realizaron sus auditorías antes de que Pickle agregara ControllerV4 el 23 de octubre. Y da la casualidad de que este fue uno de los vectores de ataque críticos.

Los expertos en seguridad están monitoreando actualmente la billetera con el DAI robado para detectar cualquier movimiento. Pero una vez más, este truco muestra que todos los protocolos DeFi, y mucho menos los nuevos como Pickle Finance, deberían ver las auditorías de seguridad como un proceso continuo y no solo como un tipo de operación “una y otra vez”.

El futuro de las finanzas Pickle

Afortunadamente, el truco no significó pesimismo para el protocolo. Poco después, Andre Cronje, el fundador / desarrollador de Yearn Finance, anunció una asociación entre ellos. Sí, los desarrolladores de Pickle y Yearn idearon una forma para que las dos plataformas funcionen juntas. El objetivo era compartir conocimientos, aumentar la especialización de cada lado y reducir la redundancia.

Por lo tanto, Yearn ahora se beneficia de los nuevos creadores de estrategias de Pickle para impulsar sus ofertas de productos, mientras que Pickle Finance se beneficiará del ecosistema y la experiencia en seguridad de Yearn. Y eso no podría llegar en un mejor momento. Comenzarán con una versión mínima y trabajarán hacia una mayor integración en el tiempo.

La fusión de Pickle y Yearn

En última instancia, significa que, entre otras cosas, los pJars se implementan como Yearn Vaults. Dado que los pJars son esencialmente versiones clonadas de yVaults, el código es similar, lo que facilita la asimilación. Además, el valor total bloqueado (TVL) entre Pickle y Yearn se fusionará. Y, los depositantes de yVault podrán ganar recompensas bloqueando tokens PICKLE para DILL.

Lo mejor de todo es que la fusión creará un nuevo token llamado CORNICHON para rastrear las pérdidas de Evil Jar para las víctimas del pirateo. Estos tokens se acuñarán y distribuirán proporcionalmente para compensar a las víctimas.

En última instancia, el objetivo final de la fusión es impulsar los rendimientos para los agricultores de rendimiento, pero no sucederá de una vez. Cronje dijo que el primer paso será fusionar pJars y Yearn’s v2 Vaults y fusionar TVL.

¿Está interesado en aprender la seguridad de los contratos inteligentes? ¿Qué tal aprender DeFi? Para convertirse en un desarrollador líder de blockchain, necesitará la mejor educación que pueda encontrar, ¡así que visite Ivan en Tech Academy hoy para ver la amplia gama de cursos disponibles!

Autor MindFrac

CriptoMundo

CriptoMundo.com es un medio digital independiente que difunde noticias y contenido sobre criptomonedas y tendencias emergentes de tecnologías financieras. Ofrece noticias, guías, artículos de opinión y gráficos en tiempo real.

Monedas

Bitcoin

Ethereum