Mercado de DeFi ultrapassa US $ 40 bilhões enquanto Alpha Finance sofre o pior ataque de empréstimo rápido da história

O DeFi Digest da OKEx Insights é um exame semanal do setor financeiro descentralizado.

Imagem DeFi Digest

O mercado financeiro descentralizado novamente atingiu novos máximos com o BTC, atingindo o marco de US $ 50.000 em bolsas globais. O valor total bloqueado em produtos DeFi ultrapassou US $ 40 bilhões em 12 de fevereiro e registrou um ganho semanal de 8%.

O aumento contínuo no mercado DeFi foi evidente na esfera de empréstimos, onde o volume total de empréstimos aumentou 13%, para US $ 7,23 bilhões. Composto dominou o mercado de empréstimos com uma participação de 55%.

O volume de negociação médio semanal das bolsas descentralizadas caiu ligeiramente para US $ 2,28 bilhões, na época em que este artigo foi escrito. Uniswap – que recentemente processado um volume acumulado de mais de US $ 100 bilhões – continua a liderar DEXs com uma participação de mercado de 38%. Aave substituiu o SushiSwap como o maior pool de liquidez esta semana, com valor total bloqueado de US $ 1,52 bilhão.

Categoria Estatísticas principais Quantia % De mudança semanal
Geral Valor total bloqueado (USD) $ 39,94 bilhões 8%
Domínio do mercado (%) Fabricante (16%)
Empréstimo Volume total de empréstimos. $ 7,23 bilhões 13%
Domínio do mercado (%) Composto (55%)
DEXs Média semanal negociando vol. $ 2,28 bilhões -6%
Domínio do mercado (%) Uniswap (38%)
Produção agrícola Maior pool de liquidez Aave ($ 1,52 bilhão)

Nesta semana, tanto o valor total bloqueado quanto os volumes de empréstimos aumentaram, enquanto volumes de negociação DEX semanais caiu 6%. Fonte: DeFi Pulse e DeBank

O maior ataque de empréstimo instantâneo de DeFi

Enquanto os participantes do mercado de DeFi foram alardeados sobre o marco TVL de US $ 40 bilhões esta semana, Alpha Finance sofreu um ataque de empréstimo rápido que levou a uma perda de aproximadamente US $ 38 milhões. Isso ultrapassou o hack de US $ 34 milhões da Harvest Finance e se tornou o maior ataque de empréstimo instantâneo na história relativamente breve de DeFi.

A equipe Alpha Finance primeiro declarado o ataque rápido por empréstimo em 13 de fevereiro. A equipe lançou um post-mortem no dia seguinte para compartilhar os detalhes do exploit Alpha Homora V2.

A autópsia afirmou que o invasor lançou uma exploração complexa envolvendo mais de nove transações, que foi resumida em 13 etapas. A equipe também listou as seguintes lacunas no contrato inteligente Alpha Homora V2 que tornou a exploração possível:

  1. O HomoraBankv2 tinha um pool sUSD que estava em preparação e não foi lançado publicamente. O pool sUSD não tinha liquidez e o invasor poderia inflar tanto o valor total da dívida quanto a parcela total da dívida.
  2. A função resolveReserve pode aumentar a dívida total sem aumentar a participação da dívida total. Esta função pode ser executada por qualquer usuário.
  3. Ocorreu um erro de cálculo de arredondamento no cálculo da função de empréstimo. Isso só era aplicável quando o invasor era o único tomador de empréstimo.
  4. O HomoraBankv2 aceita qualquer feitiço personalizado dos usuários, visto que o valor da garantia é maior do que o valor do empréstimo. (Um feitiço em Alpha Finance é semelhante a uma estratégia em Yearn Finance.)

Para lançar o complexo ataque rápido de empréstimo, o atacante primeiro criou um feitiço em Alpha Homora V2. O invasor então trocou ETH por sUSD no Uniswap e depositou sUSD no Iron Bank of Cream Finance. Para manipular o pool sUSD, o invasor pegou emprestado 1.000e18 sUSD e contornou a verificação de segurança ao depositando o token de pool de liquidez da UNI-WETH como garantia. O invasor obteve em troca 1.000e18 ações da dívida sUSD. O invasor aproveitou a primeira e a quarta lacunas mencionadas anteriormente para executar essas etapas.

Embora o invasor fosse o único tomador de empréstimo nessa exploração do Alpha Finance, ele capitalizou o erro de cálculo de arredondamento na função de empréstimo ao retribuindo a parte sUSD de um a menos do que o valor total do empréstimo. O atacante então executado a função resolveReserve no banco sUSD, levando a uma dívida acumulada de 19.709 bilhões de sUSD, já que a parcela total da dívida permaneceu um.

O invasor repetiu os procedimentos acima 26 vezes e dobrou o valor emprestado a cada vez. Como cada empréstimo era um a menos do que o valor total da dívida, isso levava a uma parcela de empréstimo correspondente de zero, e o protocolo não conseguia reconhecer o empréstimo. O invasor então obteve empréstimos rápidos de Aave e lavou os fundos no Curve.

Reação de Alpha Finance

No momento em que este artigo foi escrito, o invasor mantido 10.925 ETH no endereço da carteira. Enquanto o invasor tem depositado com mais de $ 10 milhões em stablecoins sob o medidor da Curve, eles retornaram 1.000 ETH para os desenvolvedores Alpha Homora V2 e Cream V2, respectivamente. Uma pequena porção da ETH roubada foi enviada para Tornado e Gitcoin Grant. A equipe Alpha estimou uma perda total do fundo de $ 38 milhões.

A equipe Alpha enfatizou que o empréstimo dos atacantes era uma dívida entre as plataformas Alpha Homora V2 e Cream V2, o que significa que os fundos dos usuários não estavam envolvidos neste incidente. A equipe da Alpha Finance tomou as seguintes ações imediatas para interromper a exploração:

  • Ele removeu a funcionalidade de empréstimo e reembolso do sUSD, evitando que os usuários abrissem novas posições alavancadas.
  • Ele garantiu que apenas os feitiços da lista branca pudessem ser executados.
  • Garantiu que apenas o governador pudesse executar o "resolveReserve" função.
  • Ele entrou em contato com várias partes para colocar o endereço do invasor na lista negra.

Embora os provedores de liquidez não possam tomar empréstimos em Alfa, eles ainda podem adicionar garantias, pagar dívidas, fechar posições e colher seus tokens cultivados. Os credores na Alpha Finance, por outro lado, podem emprestar e retirar ativos, como de costume.

Para mitigar o impacto negativo trazido aos usuários da Alpha Finance, a equipe está fazendo parceria com o fundador da Yearn Finance Andre Cronje e a equipe da Cream Finance para resolver a dívida.

Como uma solução de médio a longo prazo, a equipe da Alpha Finance continuou a buscar auditores externos e desenvolvedores de confiança para revisar seus contratos inteligentes. A equipe também está considerando o lançamento de novos e criativos programas de recompensa por bugs para outros protocolos DeFi seguirem.

OKEx Insights apresenta análises de mercado, recursos detalhados e notícias selecionadas de profissionais de criptografia.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map