Η αγορά DeFi ξεπερνά τα 40 δισεκατομμύρια δολάρια καθώς η Alpha Finance υπέστη χειρότερη επίθεση flash στην ιστορία

Το DeFi Digest του OKEx Insights είναι μια εβδομαδιαία εξέταση της αποκεντρωμένης χρηματοοικονομικής βιομηχανίας.

Εικόνα DeFi Digest

Η αποκεντρωμένη χρηματοοικονομική αγορά έφτασε και πάλι σε νέα υψηλά από το BTC, φτάνοντας το ορόσημο των 50.000 $ σε παγκόσμια χρηματιστήρια. Η συνολική αξία που κλειδώθηκε στα προϊόντα DeFi ξεπέρασε για πρώτη φορά τα 40 δισεκατομμύρια δολάρια στις 12 Φεβρουαρίου και σημείωσε αύξηση 8% εβδομαδιαίως.

Η συνεχιζόμενη άνοδος στην αγορά DeFi ήταν εμφανής στον τομέα των δανείων, όπου ο συνολικός όγκος δανεισμού αυξήθηκε κατά 13% στα 7,23 δισεκατομμύρια δολάρια. Η Compound κυριάρχησε στην αγορά δανεισμού με μερίδιο 55%.

Ο εβδομαδιαίος μέσος όγκος συναλλαγών των αποκεντρωμένων χρηματιστηρίων μειώθηκε ελαφρώς στα 2,28 δισεκατομμύρια δολάρια, από τη στιγμή αυτής της γραφής. Uniswap – το οποίο πρόσφατα επεξεργασμένο αθροιστικός όγκος άνω των 100 δισεκατομμυρίων δολαρίων – συνεχίζει να οδηγεί τα DEX με μερίδιο αγοράς 38%. Η Aave αντικατέστησε το SushiSwap ως το μεγαλύτερο απόθεμα ρευστότητας αυτή την εβδομάδα, με τη συνολική αξία κλειδωμένη να ανέρχεται σε 1,52 δισεκατομμύρια δολάρια.

Κατηγορία Βασικά στατιστικά στοιχεία Ποσό Εβδομαδιαία αλλαγή%
Συνολικά Συνολική τιμή κλειδωμένη (USD) 39,94 δισεκατομμύρια δολάρια 8%
Κυριαρχία στην αγορά (%) Κατασκευαστής (16%)
Δανεισμός Σύνολο δανεισμού τόμου. 7,23 δισεκατομμύρια δολάρια 13%
Κυριαρχία στην αγορά (%) Ένωση (55%)
ΔΕΞ Μέσος όρος εβδομαδιαίας συναλλαγές vol. 2,28 δισεκατομμύρια δολάρια -6%
Κυριαρχία στην αγορά (%) Uniswap (38%)
Γεωργία απόδοσης Μεγαλύτερη συγκέντρωση ρευστότητας Aave (1,52 δισεκατομμύρια δολάρια)

Αυτή την εβδομάδα, τόσο η συνολική αξία κλειδώθηκε όσο και ο όγκος δανεισμού αυξήθηκαν, ενώ εβδομαδιαίους όγκους συναλλαγών DEX έπεσε 6%. Πηγή: DeFi Pulse και DeBank

Η μεγαλύτερη επίθεση flash του DeFi

Ενώ οι συμμετέχοντες στην αγορά της DeFi υποδέχτηκαν το ορόσημο TVL 40 δισεκατομμυρίων δολαρίων αυτήν την εβδομάδα, η Alpha Finance υπέστη μια γρήγορη επίθεση δανείου που οδήγησε σε απώλεια περίπου 38 εκατομμυρίων δολαρίων. Αυτό ξεπέρασε το hack της Harvest Finance ύψους 34 εκατομμυρίων δολαρίων και έγινε η μεγαλύτερη επίθεση flash δανείου στη σχετικά σύντομη ιστορία της DeFi.

Πρώτα η ομάδα Alpha Finance δηλώθηκε η επίθεση flash loan στις 13 Φεβρουαρίου. Η ομάδα κυκλοφόρησε ένα μετά θάνατον την επόμενη μέρα για να μοιραστώ τις λεπτομέρειες του Alpha Homora V2 exploit.

Η μεταθανάτια δήλωση ανέφερε ότι ο εισβολέας ξεκίνησε μια περίπλοκη εκμετάλλευση που περιλαμβάνει περισσότερες από εννέα συναλλαγές, η οποία συνοψίστηκε σε 13 βήματα. Η ομάδα ανέφερε επίσης τα ακόλουθα κενά στο έξυπνο συμβόλαιο Alpha Homora V2 που κατέστησαν δυνατή την εκμετάλλευση:

  1. Το HomoraBankv2 είχε μια ομάδα sUSD που ήταν υπό προετοιμασία και δεν κυκλοφόρησε δημόσια. Η ομάδα sUSD δεν είχε ρευστότητα και ο εισβολέας θα μπορούσε να διογκώσει τόσο το συνολικό ποσό του χρέους όσο και το συνολικό μερίδιο του χρέους.
  2. Η συνάρτηση resolReserve θα μπορούσε να αυξήσει το συνολικό χρέος χωρίς να αυξήσει το συνολικό μερίδιο χρέους. Αυτή η λειτουργία θα μπορούσε να εκτελεστεί από οποιονδήποτε χρήστη.
  3. Υπήρχε ένας λανθασμένος υπολογισμός στρογγυλοποίησης στον υπολογισμό της λειτουργίας δανεισμού. Αυτό ισχύει μόνο όταν ο εισβολέας ήταν ο μοναδικός δανειολήπτης.
  4. Το HomoraBankv2 δέχτηκε οποιαδήποτε προσαρμοσμένη περίοδο από χρήστες, δεδομένου ότι το ποσό της ασφάλειας είναι μεγαλύτερο από το ποσό δανεισμού. (Ένα ξόρκι στο Alpha Finance είναι παρόμοιο με μια στρατηγική στο Yearn Finance.)

Για να ξεκινήσει η σύνθετη επίθεση flash loan, ο εισβολέας πρώτα δημιούργησε ένα ξόρκι στο Alpha Homora V2. Ο εισβολέας έπειτα ανταλλάσσει το ETH σε sUSD στο Uniswap και κατέθεσε το sUSD στην Iron Bank of Cream Finance. Για να χειριστεί την ομάδα sUSD, ο εισβολέας δανείστηκε 1.000e18 sUSD και παρακάμπτει τον έλεγχο ασφαλείας από κατάθεση το διακριτικό συγκέντρωσης ρευστότητας της UNI-WETH ως εγγύηση. Ο εισβολέας απέκτησε μετοχές χρέους 1.000e18 sUSD. Ο εισβολέας αξιοποίησε τα πρώτα και τέταρτα κενά που αναφέρθηκαν προηγουμένως για να εκτελέσει αυτά τα βήματα.

Ενώ ο εισβολέας ήταν ο μοναδικός δανειολήπτης σε αυτήν την εκμετάλλευση Alpha Finance, εκμεταλλεύτηκαν τον στρογγυλοποιημένο εσφαλμένο υπολογισμό στη λειτουργία δανεισμού από αποπληρωμή το μερίδιο sUSD μικρότερο από το συνολικό ποσό δανεισμού. Ο επιτιθέμενος τότε εκτελέστηκε η λειτουργία resolReserve στην τράπεζα sUSD, οδηγώντας σε δεδουλευμένο χρέος 19,709 δισεκατομμυρίων δολαρίων ΗΠΑ καθώς το συνολικό μερίδιο χρέους παρέμεινε ένα.

Ο εισβολέας επανέλαβε τις παραπάνω διαδικασίες 26 φορές και διπλασίασε το ποσό δανεισμού κάθε φορά. Καθώς κάθε δανεισμός ήταν μικρότερος από τη συνολική αξία του χρέους, αυτό οδήγησε σε αντίστοιχο μερίδιο δανεισμού μηδέν και το πρωτόκολλο δεν μπορούσε να αναγνωρίσει τον δανεισμό. Στη συνέχεια, ο εισβολέας έλαβε ταχέως δάνεια από την Aave και ξέπλυσε τα χρήματα στο Curve.

Η αντίδραση της Alpha Finance


Από τη στιγμή της γραφής, ο εισβολέας που πραγματοποιήθηκε 10.925 ETH στη διεύθυνση πορτοφολιού τους. Ενώ ο εισβολέας έχει κατατέθηκε Σταθερότερα κέρματα αξίας άνω των 10 εκατομμυρίων δολαρίων κάτω από το εύρος της Curve, επέστρεψαν 1.000 ETH στους προγραμματιστές Alpha Homora V2 και Cream V2, αντίστοιχα. Ένα μικρό μέρος του κλεμμένου ETH στάλθηκε στο Tornado και το Gitcoin Grant. Η ομάδα της Alpha υπολόγισε συνολική απώλεια κεφαλαίου 38 εκατομμυρίων δολαρίων.

Η ομάδα της Alpha τόνισε ότι ο δανεισμός από τους εισβολείς ήταν χρέος μεταξύ των πλατφορμών Alpha Homora V2 και Cream V2, πράγμα που σημαίνει ότι τα χρήματα των χρηστών δεν εμπλέκονταν σε αυτό το συμβάν. Η ομάδα Alpha Finance έκανε τις ακόλουθες άμεσες ενέργειες για να σταματήσει την εκμετάλλευση:

  • Κατάργησε τη λειτουργικότητα δανεισμού και αποπληρωμής του sUSD, εμποδίζοντας τους χρήστες να ανοίξουν νέες μοχλευμένες θέσεις.
  • Διασφάλιζε ότι θα μπορούσαν να εκτελεστούν μόνο ξόρκια λευκής λίστας.
  • Διασφάλισε ότι μόνο ο κυβερνήτης θα μπορούσε να εκτελέσει το "επίλυση" λειτουργία.
  • Επικοινώνησε με διάφορα μέρη για να απαριθμήσει τη διεύθυνση του εισβολέα.

Ενώ οι πάροχοι ρευστότητας δεν μπορούν να δανειστούν στο Alpha, μπορούν ακόμη να προσθέσουν εξασφαλίσεις, να εξοφλήσουν χρέη, να κλείσουν θέσεις και να συλλέξουν τα εκπτωτικά τους κουπόνια. Οι δανειστές στην Alpha Finance, από την άλλη πλευρά, μπορούν να δανείζουν και να αποσύρουν περιουσιακά στοιχεία, ως συνήθως.

Για να μετριάσει τον αρνητικό αντίκτυπο που έχουν οι χρήστες της Alpha Finance, η ομάδα συνεργάζεται με τον ιδρυτή της Yearn Finance, Andre Cronje και την ομάδα Cream Finance για την επίλυση του χρέους.

Ως μεσοπρόθεσμη έως μακροπρόθεσμη λύση, η ομάδα Alpha Finance συνέχισε να αναζητά εξωτερικούς ελεγκτές και έμπιστους προγραμματιστές για να επανεξετάσουν τα έξυπνα συμβόλαιά τους. Η ομάδα σκέφτεται επίσης να ξεκινήσει νέα και δημιουργικά προγράμματα bug bounty για να ακολουθήσουν άλλα πρωτόκολλα DeFi.

Το OKEx Insights παρουσιάζει αναλύσεις αγοράς, σε βάθος χαρακτηριστικά και επιμελημένα νέα από επαγγελματίες της κρυπτογράφησης.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map