Le marché DeFi dépasse les 40 milliards de dollars alors qu’Alpha Finance subit la pire attaque de prêt flash de l’histoire

DeFi Digest d’OKEx Insights est un examen hebdomadaire du secteur financier décentralisé.

Image DeFi Digest

Le marché de la finance décentralisée a de nouveau atteint de nouveaux sommets grâce à la BTC, franchissant le cap des 50000 dollars sur les bourses mondiales. La valeur totale verrouillée dans les produits DeFi a dépassé pour la première fois 40 milliards de dollars le 12 février et a enregistré un gain hebdomadaire de 8%..

La hausse continue du marché DeFi a été évidente dans la sphère des prêts, où le volume total des emprunts a augmenté de 13% pour atteindre 7,23 milliards de dollars. Le composé a dominé le marché des prêts avec une part de 55%.

Le volume hebdomadaire moyen des échanges des bourses décentralisées a légèrement baissé à 2,28 milliards de dollars, au moment de la rédaction de cet article. Uniswap – qui a récemment traité un volume cumulé de plus de 100 milliards de dollars – continue de dominer les DEX avec une part de marché de 38%. Aave a remplacé SushiSwap comme le plus grand pool de liquidités cette semaine, sa valeur totale bloquée s’élevant à 1,52 milliard de dollars.

Catégorie Statistiques clés Quantité % De changement hebdomadaire
Globalement Valeur totale verrouillée (USD) 39,94 milliards de dollars 8%
Domination du marché (%) Fabricant (16%)
Prêt Vol total des emprunts. 7,23 milliards de dollars 13%
Domination du marché (%) Composé (55%)
DEX Moyenne hebdomadaire trading vol. 2,28 milliards de dollars -6%
Domination du marché (%) Uniswap (38%)
Rendement de l’agriculture Le plus grand pool de liquidités Aave (1,52 milliard de dollars)

Cette semaine, la valeur totale bloquée et les volumes d’emprunt ont augmenté, tandis que volumes de trading DEX hebdomadaires a chuté de 6%. Source: DeFi Pulse et DeBank

La plus grande attaque de prêt flash de DeFi

Alors que les acteurs du marché DeFi étaient enthousiasmés par le seuil de 40 milliards de dollars TVL cette semaine, Alpha Finance a subi une attaque de prêt flash qui a entraîné une perte d’environ 38 millions de dollars. Cela a dépassé le piratage de Harvest Finance de 34 millions de dollars et est devenu la plus grande attaque de prêt flash de l’histoire relativement brève de DeFi..

L’équipe Alpha Finance d’abord déclaré l’attaque de prêt flash le 13 février. L’équipe a publié un autopsie le lendemain pour partager les détails de l’exploit Alpha Homora V2.

L’autopsie a déclaré que l’attaquant avait lancé un exploit complexe impliquant plus de neuf transactions, qui a été résumé en 13 étapes. L’équipe a également répertorié les lacunes suivantes dans le contrat intelligent Alpha Homora V2 qui ont rendu l’exploit possible:

  1. HomoraBankv2 avait un pool sUSD en cours de préparation et non rendu public. Le pool sUSD n’avait aucune liquidité et l’attaquant pouvait gonfler à la fois le montant total de la dette et la part totale de la dette.
  2. La fonction de résolution de réserve pourrait augmenter la dette totale sans augmenter la part de la dette totale. Cette fonction peut être exécutée par n’importe quel utilisateur.
  3. Il y a eu une erreur d’arrondi dans le calcul de la fonction d’emprunt. Cela n’était applicable que lorsque l’attaquant était le seul emprunteur.
  4. HomoraBankv2 a accepté tout sort personnalisé des utilisateurs, étant donné que le montant de la garantie est supérieur au montant de l’emprunt. (Un sort dans Alpha Finance est similaire à une stratégie dans Yearn Finance.)

Pour lancer l’attaque complexe de prêt flash, l’attaquant en premier créé un sort dans Alpha Homora V2. L’attaquant a ensuite échangé des ETH contre des sUSD sur Uniswap et déposé des sUSD auprès de l’Iron Bank of Cream Finance. Pour manipuler le pool sUSD, l’attaquant a emprunté 1 000e18 sUSD et a contourné le contrôle de sécurité en dépôt le jeton de réserve de liquidité d’UNI-WETH en garantie. L’attaquant a obtenu en retour 1 000 e18 sUSD. L’attaquant a exploité les première et quatrième failles mentionnées précédemment pour effectuer ces étapes.

Alors que l’attaquant était le seul emprunteur dans cet exploit d’Alpha Finance, il a capitalisé sur l’erreur d’arrondi dans la fonction d’emprunt en rembourser la part sUSD de un de moins que le montant total de l’emprunt. L’attaquant alors réalisé la fonction de résolution de réserve sur la banque sUSD, conduisant à une dette accumulée de 19709 milliards de sUSD alors que la part de la dette totale est restée un.

L’attaquant a répété les procédures ci-dessus 26 fois et a doublé le montant emprunté à chaque fois. Comme chaque emprunt était inférieur de un à la valeur totale de la dette, cela a conduit à une part d’emprunt correspondante de zéro, et le protocole ne pouvait pas reconnaître l’emprunt. L’attaquant a ensuite obtenu des prêts flash d’Aave et blanchi les fonds dans Curve.

La réaction d’Alpha Finance

Au moment de la rédaction de cet article, l’attaquant tenu 10925 ETH dans leur adresse de portefeuille. Alors que l’attaquant a déposé Plus de 10 millions de dollars de pièces stables sous la jauge de Curve, ils ont retourné 1000 ETH aux développeurs Alpha Homora V2 et Cream V2, respectivement. Une infime partie de l’ETH volé a été envoyée à Tornado et Gitcoin Grant. L’équipe Alpha a estimé une perte de fonds totale de 38 millions de dollars.

L’équipe Alpha a souligné que l’emprunt aux attaquants était une dette entre les plates-formes Alpha Homora V2 et Cream V2, ce qui signifie que les fonds des utilisateurs n’étaient pas impliqués dans cet incident. L’équipe Alpha Finance a pris les mesures immédiates suivantes pour mettre fin à l’exploit:

  • Il a supprimé la fonctionnalité d’emprunt et de remboursement de sUSD, empêchant les utilisateurs d’ouvrir de nouvelles positions à effet de levier.
  • Cela garantissait que seuls les sorts de la liste blanche pouvaient être exécutés.
  • Il a veillé à ce que seul le gouverneur puisse exécuter le "résoudreRéserver" fonction.
  • Il a contacté diverses parties pour mettre sur liste noire l’adresse de l’attaquant.

Bien que les fournisseurs de liquidité ne puissent pas emprunter en Alpha, ils peuvent toujours ajouter des garanties, rembourser la dette, clôturer des positions et récolter leurs jetons cultivés. Les prêteurs d’Alpha Finance, quant à eux, peuvent prêter et retirer des actifs, comme d’habitude.

Pour atténuer l’impact négatif causé aux utilisateurs d’Alpha Finance, l’équipe s’associe au fondateur de Yearn Finance, Andre Cronje et à l’équipe de Cream Finance pour régler la dette..

En tant que solution à moyen et long terme, l’équipe d’Alpha Finance a continué à rechercher des auditeurs externes et des développeurs de confiance pour examiner leurs contrats intelligents. L’équipe envisage également de lancer de nouveaux programmes créatifs de primes de bogues pour d’autres protocoles DeFi à suivre..

OKEx Insights présente des analyses de marché, des fonctionnalités approfondies et des actualités organisées par des professionnels de la cryptographie.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Follow Us
Facebooktwitter
Promo
banner
Promo
banner