ValueDeFi-pikalainahyökkäys paljastaa DeFi: n kriittisen huolellisuuden puutteen

OKEx Insightsin DeFi Digest on viikoittainen tutkimus hajautetusta rahoitusteollisuudesta.

DeFi-markkinoiden tilannekuva

Hajautetut rahoitusmarkkinat pitivät noususuuntaansa tällä viikolla, kun DeFi-tuotteiden lukittu kokonaisarvo nousi hieman 13,65 miljardista 13,80 miljardiin dollariin. 

Hajautetut luottomarkkinat kasvoivat tällä viikolla 8%, kun lainojen kokonaismäärä oli 3,09 miljardia dollaria. Kasvusta hyötyessään Maker korvasi Uniswapin DeFi-johtajana 17 prosentin markkina-asemalla. Compound puolestaan ​​säilytti markkina-asemansa luotonannossa 55 prosentin osuudella.

Hajautettujen pörssien viikoittainen keskimääräinen kaupankäyntimäärä kasvoi 20% ja oli tällä viikolla 0,53 miljardia dollaria. Vaikka Uniswap säilytti kaupankäyntivolyyminsä 37%, sen suurin likviditeettipoolin asema korvattiin sen ensisijaisella kilpailijalla, SushiSwapilla.

DEX: ien viikkokaupan volyymi kasvoi 20%. Lähde: DeFi Pulse ja DeBank

Flash-lainahyökkäykset ovat osoittautuneet ongelmallisiksi DeFi: lle

Flash-lainahyökkäyksistä on tullut päänsärky DeFi-yhteisölle, kun tuottojen kerääjästä ValueDeFi tuli viides uhri vain kolmessa viikossa. Harvest Financen 34 miljoonan dollarin tappion jälkeen Akropolis, Origin Protocol ja Cheese Bank ovat hyödyntäneet pikalainoja. 2 miljoonaa dollaria, 7 miljoonaa dollaria ja 3,3 miljoonaa dollaria, vastaavasti.

ValueDeFi kärsi 6 miljoonan dollarin pikalainan hyväksikäytöstä 14. marraskuuta. Itsestään kuvaileman white hattu-hakkerin Emiliano Bonassin mukaan ValueDeFi-protokollan flash-lainojen hyväksikäyttö oli monimutkaisempi kuin aiemmat hyökkäykset, koska käytettiin kahta pikalainaa. Hakkerit otti a pikalaina 80 000 ETH – arvo yli 36 miljoonaa dollaria – ja 116 miljoonan dollarin pikalaina DAI: ssa Uniswapilta ValueDeFi-protokollan hyödyntämiseksi, mikä johtaa 6 miljoonan dollarin nettotappioon. 

Hyökkäyksen yksityiskohtaiset vaiheet kuvattiin Bonassin Twitter-tilillä:

Hakkerit käyttivät kahta pikalainaa Aave- ja Uniswap-sovelluksissa hyödyntääkseen ValueDeFi-protokollaa. Lähde: Twitter / @emilianobonassi

Mukaan analyysi Tilintarkastusyhteisö PeckShield suoritti ValueDeFi-protokollan hyväksikäytön perussyyn sen virheen "MultiStablesVaults," joka käyttää käyrää omaisuuden hinnan mittaamiseen. Virheen takia hakkerit pystyivät käyttämään flash-lainoja manipuloimaan 3crv-rahakkeiden hintaa. Sen jälkeen he voisivat polttaa lyötyt rahakkeet altaasta lunastamaan suhteettoman osan 33,08 miljoonasta 3crv-rahakkeesta normaalin 24,95 miljoonan sijaan. Hakkerit lunastivat sitten 3crv-merkit DAI: lle, mikä johti 7,4 miljoonan dollarin tappioon DAI: ssa. (Hakkerit palauttivat kuitenkin 2 miljoonaa dollaria ValueDeFin ydinkehittäjille.)

ValueDeFIN korjaustoimenpiteet

ValueDeFi-tiimi julkaisi a post mortem -analyysi siinä hahmotellaan välittömät korjaustoimenpiteet ja keskipitkän aikavälin suunnitelmat tällaisten pikalainahyökkäysten estämiseksi.


Ensimmäisessä vaiheessa talletukset MultiStables-holvissa on pysäytetty. Korvauksen tarkan määrän laskemiseksi joukkue on ottanut otoksia jokaisen käyttäjän saldosta ennen hyökkäystä. Tiimi aikoo myös julkaista toisen version MultiStables-holvista. Ennen julkaisua julkiset tilintarkastajat ja julkiset vakavaraisuuden kehittäjät tarkastavat toisen holvin.

Verrattuna holvin ensimmäiseen versioon, toiseen versioon käyttää Chainlink-hinnan syötteitä parantaa tietojen laatua, tarjota oraakkelisuojaa ja toimittaa tarkat omaisuuserien hinnat. Hintajärjestelmien käyttö vähentää altistumista väliaikaisille pikalainan aiheuttamille hintavääristymille, kun ValueDeFi-protokolla poimi tietoja Curven ketjun sisäisistä likviditeettipooleista tai muista ketjun tuottamista hinnan syötteistä. Koska Chainlink-hinnan syötteitä ei päivitetä samanaikaisesti useiden tapahtumien aikana, pikalainoilla ei ole kykyä manipuloida hintaa – koska ne ovat olemassa vain yhden tapahtuman sisällä.

Tiimi luo korvausrahaston, joka perustuu kehittäjien varoihin, vakuutusrahastoon ja osaan protokollan keräämistä palkkioista. Korvaamaan käyttäjille pääoman puutetta, joukkue on luonut IOU-tunnukset edustamaan varoja, joita ei ole palautettu käyttäjille. IOU-tunnuksilla on sisäänrakennettu inflaatio, joka kerää automaattisesti 10%: n vuotuisen prosenttiosuuden joka viikko.

Tiimi on myös etsinyt ratkaisua hakkerien kanssa. Esimerkiksi se ehdotettu miljoonan DAI-jakelu palkkiona ja pyysi hakkereita palauttamaan jäljellä olevat varat asianomaisille käyttäjille. Hakkerit eivät ole vielä vastanneet tähän pyyntöön.

Kivuliaita oppitunteja

Äskettäiset pikalainan hyödyntäminen DeFi-protokollissa paljastivat jälleen joidenkin markkinaosapuolten ymmärtämättömyyden DeFi-mekaniikassa. ValueDeFi-protokollan hyväksikäytössä itse kuvattu sairaanhoitaja ja itse kuvaama 19-vuotias opiskelija- menetti 100 000 dollaria ja 200 000 dollaria. Hakkerit palauttivat sairaanhoitajalle 50000 DAI ja opiskelijalle 45000 DAI, mutta he varoittivat käyttäjiä tietämyksen puutteesta ja varovaisuudesta.

Hakkerit ValueDeFi-protokollan avulla varoittivat käyttäjiä riskeistä sijoittaa satoviljelyprotokolliin. Lähde: Eetteriskannaus

Edellä mainitut esimerkit havainnollistavat, kuinka jotkut DeFi-osallistujat ottavat huomioon vain tuotonviljelyprotokollien nykyisen tuoton ottamatta huomioon älykkäisiin sopimuksiin liittyviä riskejä. Jopa ValueDeFi-tiimi toisti, että DeFi-protokolliin sijoittamiseen liittyy aina riski.

Kun uusien DeFi-protokollien käyttöönotto on entistä monimutkaisempaa, näihin protokolliin sijoittamisen riskit todennäköisesti vain kasvavat.

OKEx Insights esittelee markkina-analyyseja, syvällisiä ominaisuuksia, alkuperäistä tutkimusta & kuratoivat uutiset salauksen ammattilaisilta.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map