DeFi-markedet overgår 40 milliarder dollars, da Alpha Finance lider under det værste flash-låneangreb i historien

OKEx Insights ‘DeFi Digest er en ugentlig undersøgelse af den decentrale finansieringsindustri.

DeFi Digest-billede

Det decentrale finansieringsmarked nåede igen nye højder på bagsiden af ​​BTC, der ramte $ 50.000 milepæl på tværs af globale børser. Den samlede værdi låst i DeFi-produkter oversteg først $ 40 milliarder den 12. februar og har givet en ugentlig gevinst på 8%.

Den fortsatte stigning i DeFi-markedet har været tydelig i udlånssfæren, hvor de samlede lånemængder steg med 13% til 7,23 milliarder dollar. Compound dominerede udlånsmarkedet med en andel på 55%.

Den ugentlige gennemsnitlige handelsvolumen for decentraliserede børser faldt let til $ 2,28 mia. På tidspunktet for denne skrivning. Uniswap – som for nylig behandlet et kumulativt volumen på over 100 mia. dollars – fortsætter med at føre DEX’er med en markedsandel på 38%. Aave erstattede SushiSwap som den største likviditetspulje i denne uge, med dens samlede værdi låst på $ 1,52 mia.

Kategori Nøglestatistikker Beløb Ugentlig% ændring
samlet set Samlet værdi låst (USD) 39,94 milliarder dollars 8%
Markedsdominans (%) Producent (16%)
Udlån Samlet lånoptagelse vol. 7,23 milliarder dollars 13%
Markedsdominans (%) Forbindelse (55%)
DEX’er Ugentligt gennemsnit handelsvol. 2,28 milliarder dollars -6%
Markedsdominans (%) Uniswap (38%)
Udbytteopdræt Største likviditetspulje Aave ($ 1,52 mia.)

Denne uge steg både den samlede låste værdi og lånevolumen, mens ugentlige DEX-handelsvolumener faldt 6%. Kilde: DeFi Pulse og DeBank

DeFi’s største flash-låneangreb

Mens DeFi-markedsdeltagere blev hypede over TVL-milepælen på 40 mia. $ I denne uge, led Alpha Finance et flash-låneangreb, der førte til et omtrentligt tab på 38 mio. Dette overgik Harvest Finance’s hack på 34 millioner dollars og blev det største flash-låneangreb i DeFis relativt korte historie.

Alpha Finance-teamet først erklæret Flash-låneangrebet den 13. februar. Holdet frigav en efter døden den næste dag for at dele detaljerne i Alpha Homora V2-udnyttelsen.

Post mortem erklærede, at angriberen lancerede en kompleks udnyttelse, der involverede mere end ni transaktioner, som blev opsummeret i 13 trin. Holdet opførte også følgende smuthuller i Alpha Homora V2 smart kontrakt, der gjorde udnyttelsen mulig:

  1. HomoraBankv2 havde en sUSD-pool, der var under forberedelse og ikke frigivet offentligt. SUSD-puljen havde ingen likviditet, og angriberen kunne pumpe både det samlede gældsbeløb og den samlede gældsandel.
  2. Opløsningsreserver-funktionen kan øge den samlede gæld uden at øge den samlede gældsandel. Denne funktion kan udføres af enhver bruger.
  3. Der var en afrundingsfejlberegning i lånefunktionsberegningen. Dette var kun anvendeligt, når angriberen var den eneste låntager.
  4. HomoraBankv2 accepterede enhver brugerdefineret trylleformular fra brugerne, da sikkerhedsbeløbet er større end lånebeløbet. (En trylleformular i Alpha Finance svarer til en strategi i Yearn Finance.)

For at starte det komplekse flash-låneangreb skal angriberen først oprettede en besværgelse i Alpha Homora V2. Angriberen byttede derefter ETH til sUSD på Uniswap og deponerede sUSD til Iron Bank of Cream Finance. For at manipulere sUSD-puljen lånte angriberen 1.000e18 sUSD og omgåede sikkerhedskontrollen med deponering likviditetspuljetokenet for UNI-WETH som sikkerhed. Angriberen fik til gengæld 1.000e18 sUSD-gældsandele. Angriberen benyttede de første og fjerde smuthuller, der er nævnt tidligere, for at udføre disse trin.

Mens angriberen var den eneste låntager i denne Alpha Finance-udnyttelse, kapitaliserede de sig på den afrundede fejlberegning i lånefunktionen ved tilbagebetaling sUSD-andelen på en mindre end det samlede lånebeløb. Angriberen derefter henrettet resolveReserve-funktionen på sUSD-banken, hvilket førte til en påløbet gæld på 19.709 milliarder sUSD, da den samlede gældsandel forblev en.

Angriberen gentog ovenstående procedurer 26 gange og fordoblede det lånte beløb hver gang. Da hver låntagning var en mindre end den samlede gældsværdi, førte dette til en tilsvarende låneandel på nul, og protokollen kunne ikke anerkende låntagningen. Angriberen fik derefter flash-lån fra Aave og hvidvaskede midlerne i Curve.

Alpha Finance reaktion


I skrivende stund angriberen holdt 10.925 ETH i deres tegnebogadresse. Mens angriberen har deponeret over stablecoins til en værdi af over 10 millioner dollars under Curves målestok, returnerede de 1.000 ETH til henholdsvis Alpha Homora V2 og Cream V2-udviklerne. En lille del af den stjålne ETH blev sendt til Tornado og Gitcoin Grant. Alpha-teamet estimerede et samlet fondstab på $ 38 millioner.

Alpha-teamet understregede, at låntagningen fra angribere var en gæld mellem Alpha Homora V2 og Cream V2-platformene, hvilket betyder, at brugernes midler ikke var involveret i denne hændelse. Alpha Finance-teamet tog følgende øjeblikkelige handlinger for at standse udnyttelsen:

  • Det fjernede sUSD’s låne- og tilbagebetalingsfunktionalitet, hvilket forhindrede brugere i at åbne nye gearede positioner.
  • Det sikrede, at kun hvidlistede trylleformularer kunne udføres.
  • Det sikrede, at kun guvernøren kunne henrette "løseReserve" fungere.
  • Det kontaktede forskellige parter for at sortliste angriberens adresse.

Mens likviditetsudbydere ikke kan låne i Alpha, kan de stadig tilføje sikkerhedsstillelse, tilbagebetale gæld, lukke positioner og høste deres opdrættede tokens. På den anden side kan långivere i Alpha Finance låne ud og trække aktiver som normalt.

For at afbøde den negative indvirkning, som Alpha Finance har fået brugere, samarbejder teamet med Yearn Finance-grundlægger Andre Cronje og Cream Finance-teamet for at løse gælden.

Som en mellemlang til lang sigt-løsning fortsatte Alpha Finance-teamet med at søge eksterne revisorer og tillid til udviklere til at gennemgå deres smarte kontrakter. Holdet overvejer også at lancere nye og kreative bug bounty-programmer, som andre DeFi-protokoller kan følge.

OKEx Insights præsenterer markedsanalyser, dybtgående funktioner og kuraterede nyheder fra kryptoprofessionelle.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map