Ataque de empréstimo instantâneo ValueDeFi expõe falta crítica de devida diligência no DeFi

O DeFi Digest da OKEx Insights é um exame semanal do setor financeiro descentralizado.

Instantâneo do mercado DeFi

O mercado financeiro descentralizado manteve seu ímpeto de alta esta semana, com o valor total bloqueado em produtos DeFi subindo ligeiramente de US $ 13,65 bilhões para US $ 13,80 bilhões. 

O mercado de empréstimos descentralizado cresceu 8% nesta semana, com o volume total de empréstimos alcançando US $ 3,09 bilhões. Beneficiando-se do crescimento, a Maker substituiu a Uniswap como líder geral de DeFi, com um nível de domínio de mercado de 17%. A Compound, por sua vez, manteve seu domínio de mercado na área de crédito, com 55% de participação.

O volume de negociação médio semanal das bolsas descentralizadas aumentou 20% e atingiu US $ 0,53 bilhão nesta semana. Enquanto o Uniswap manteve seu domínio do volume de negociação de 37%, sua posição como tendo o maior pool de liquidez foi substituída por seu principal concorrente, SushiSwap.

O volume de negociação semanal de DEXs cresceu 20%. Fonte: DeFi Pulse e DeBank

Ataques de empréstimo instantâneo se provando problemáticos para DeFi

Ataques de empréstimo instantâneo se tornaram uma dor de cabeça para a comunidade DeFi, já que o agregador de rendimento ValueDeFi se tornou a quinta vítima em apenas três semanas. Após a perda de US $ 34 milhões com Harvest Finance, ocorreram explorações de empréstimo instantâneo de Akropolis, Origin Protocol e Cheese Bank, com uma perda de $ 2 milhões, $ 7 milhões e $ 3,3 milhões, respectivamente.

ValueDeFi sofreu um exploit de empréstimo flash de $ 6 milhões em 14 de novembro. De acordo com Emiliano Bonassi, um hacker de chapéu branco que se descreveu, o exploit de empréstimo flash no protocolo ValueDeFi foi mais complexo do que os ataques anteriores, pois foram usados ​​dois empréstimos instantâneos. Hackers tiraram um empréstimo rápido de 80.000 ETH – vale mais de $ 36 milhões – e um empréstimo rápido de $ 116 milhões em DAI da Uniswap para explorar o protocolo ValueDeFi, resultando em um prejuízo líquido de $ 6 milhões. 

As etapas detalhadas para o ataque foram ilustradas na conta do Twitter de Bonassi:

Os hackers usaram dois empréstimos flash no Aave e no Uniswap para explorar o protocolo ValueDeFi. Fonte: Twitter / @emilianobonassi

De acordo com um análise conduzido pela empresa de auditoria PeckShield, a causa raiz da exploração do protocolo ValueDeFi foi um bug em seu "MultiStablesVaults," que usa Curve para medir o preço do ativo. Por causa do bug, os hackers conseguiram usar empréstimos flash para manipular o preço dos tokens 3crv. Depois disso, eles poderiam queimar os tokens cunhados do pool para resgatar uma parte desproporcional de 33,08 milhões de tokens 3crv, em vez dos 24,95 milhões normais. Os hackers então resgataram os tokens 3crv para a DAI, o que levou a uma perda de US $ 7,4 milhões na DAI. (Os hackers, no entanto, devolveram $ 2 milhões para os principais desenvolvedores do ValueDeFi.)

Ações corretivas por ValueDeFi

A equipe ValueDeFi publicou um análise post-mortem que descreve soluções imediatas e planos de médio prazo para evitar tais ataques de empréstimo rápido.

Como uma primeira etapa, os depósitos no cofre do MultiStables foram interrompidos. Para calcular o valor exato da compensação, a equipe tirou fotos do saldo de cada usuário antes do ataque. A equipe também planeja lançar uma segunda versão do cofre MultiStables. Antes do lançamento, o segundo cofre será auditado por auditores públicos e desenvolvedores públicos de Solidity.

Comparado com a primeira versão do cofre, a segunda versão usa feeds de preços da Chainlink para melhorar a qualidade dos dados, fornecer segurança oracle e fornecer preços de ativos precisos. O uso de oráculos de preço reduz a exposição a distorções temporárias de preços induzidas por empréstimo instantâneo quando o protocolo ValueDeFi extrai dados dos pools de liquidez da Curve ou outros feeds de preços gerados na cadeia. Além disso, como os feeds de preços do Chainlink não são atualizados simultaneamente em várias transações, os empréstimos instantâneos não têm a capacidade de manipular o preço – já que existem apenas em uma única transação.

A equipe criará um fundo de compensação com base nos fundos do desenvolvedor, um fundo de seguro e uma parte das taxas cobradas pelo protocolo. Para compensar os usuários pela falta de acesso ao seu capital, a equipe criou tokens IOU para representar os fundos que não foram devolvidos aos usuários. Os tokens IOU têm inflação embutida que acumulará automaticamente um rendimento percentual anual de 10% todas as semanas.

A equipe também continuou a buscar uma solução com os hackers. Por exemplo, proposto uma distribuição de 1 milhão de DAI como recompensa e solicitou que os hackers devolvessem os fundos restantes aos usuários afetados. Os hackers ainda não responderam a esta solicitação.

Lições dolorosas

As recentes explorações de empréstimo instantâneo nos protocolos DeFi mais uma vez expuseram a falta de compreensão da mecânica do DeFi entre alguns participantes do mercado. No exploit do protocolo ValueDeFi, um auto-descrito enfermeira e um que se autodescreveu de 19 anos aluna perdeu $ 100.000 e $ 200.000, respectivamente. Enquanto os hackers devolveram 50.000 DAI e 45.000 DAI para a enfermeira e o aluno, respectivamente, eles alertaram os usuários sobre os riscos associados à sua falta de conhecimento e cautela.

Hackers na exploração do protocolo ValueDeFi alertaram os usuários sobre os riscos de investir em protocolos de cultivo de safra. Fonte: Etherscan

Os exemplos mencionados acima ilustram como alguns participantes do DeFi consideram apenas os retornos atuais dos protocolos de produção agrícola, sem reconhecer os riscos inerentes aos contratos inteligentes. Até mesmo a equipe ValueDeFi reiterou que sempre há um elemento de risco envolvido ao investir em protocolos DeFi.

Com a implantação de novos protocolos DeFi se tornando cada vez mais complexos, os riscos de investir nesses protocolos provavelmente só aumentarão.

OKEx Insights apresenta análises de mercado, recursos detalhados, pesquisas originais & notícias selecionadas de profissionais de criptografia.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map