Atacul de împrumut flash ValueDeFi expune lipsa critică de due diligence în DeFi

DeFi Digest al OKEx Insights este o examinare săptămânală a industriei financiare descentralizate.

Instantaneu de piață DeFi

Piața financiară descentralizată și-a menținut ritmul alcista în această săptămână, deoarece valoarea totală blocată în produsele DeFi a crescut ușor de la 13,65 miliarde dolari la 13,80 miliarde dolari. 

Piața de creditare descentralizată a crescut cu 8% în această săptămână, deoarece volumul total al împrumuturilor a ajuns la 3,09 miliarde de dolari. Beneficiind de această creștere, Maker a înlocuit Uniswap ca lider general DeFi, cu un nivel de dominanță de piață de 17%. Între timp, Compound și-a menținut poziția dominantă pe piață în sfera creditelor, cu o cotă de 55%.

Volumul mediu de tranzacționare săptămânal al schimburilor descentralizate a crescut cu 20% și a ajuns la 0,53 miliarde USD în această săptămână. În timp ce Uniswap și-a menținut dominanța volumului de tranzacționare de 37%, poziția sa ca având cel mai mare fond de lichidități a fost înlocuită de concurentul său principal, SushiSwap.

Volumul de tranzacționare săptămânal al DEX-urilor a crescut cu 20%. Sursă: DeFi Pulse și DeBank

Atacurile cu împrumut flash se dovedesc problematice pentru DeFi

Atacurile de împrumut flash au devenit o durere de cap pentru comunitatea DeFi, întrucât ValueDeFi a devenit a cincea victimă în doar trei săptămâni. În urma pierderii de 34 de milioane de dolari de la Harvest Finance, au existat exploatări de împrumut rapid ale Akropolis, Origin Protocol și Cheese Bank, cu o pierdere de 2 milioane de dolari, 7 milioane de dolari și 3,3 milioane de dolari, respectiv.

ValueDeFi a suferit de un exploit de împrumut flash de 6 milioane de dolari pe 14 noiembrie. Potrivit lui Emiliano Bonassi, un hacker cu pălărie albă auto-descris, exploatarea de împrumut flash în protocolul ValueDeFi a fost mai complex decât atacurile anterioare, deoarece s-au folosit două împrumuturi flash. Hackerii au scos un împrumut flash de 80.000 ETH – în valoare de peste 36 de milioane de dolari – și un împrumut rapid de 116 milioane de dolari în DAI de la Uniswap pentru a exploata protocolul ValueDeFi, rezultând o pierdere netă de 6 milioane de dolari. 

Etapele detaliate pentru atac au fost ilustrate pe contul de Twitter al lui Bonassi:

Hackerii au folosit două împrumuturi flash pe Aave și Uniswap pentru a exploata protocolul ValueDeFi. Sursă: Twitter / @emilianobonassi

Potrivit unui analiză realizat de firma de audit PeckShield, cauza principală a exploatării protocolului ValueDeFi a fost o eroare în acest proces "MultiStablesVaults," care utilizează Curve pentru a măsura prețul activului. Din cauza bug-ului, hackerii au putut folosi împrumuturi flash pentru a manipula prețul jetoanelor 3crv. După aceea, ar putea arde jetoanele bătute din piscină pentru a răscumpăra o cotă disproporționată de 33,08 milioane de jetoane 3crv, în loc de 24,95 milioane normale. Hackerii au răscumpărat apoi jetoanele 3crv pentru DAI, ceea ce a dus la o pierdere de 7,4 milioane de dolari în DAI. (Cu toate acestea, hackerii au returnat 2 milioane de dolari dezvoltatorilor de bază ai ValueDeFi.)

Acțiuni de remediere de către ValueDeFi

Echipa ValueDeFi a publicat un analiza post-mortem care prezintă remedii imediate și planuri pe termen mediu pentru a preveni astfel de atacuri de împrumut rapid.


Ca prim pas, depunerile în seiful MultiStables au fost oprite. Pentru a calcula valoarea exactă a compensației, echipa a realizat instantanee din soldul fiecărui utilizator înainte de atac. Echipa intenționează, de asemenea, să lanseze o a doua versiune a seifului MultiStables. Înainte de lansare, cel de-al doilea seif va fi auditat de auditori publici și dezvoltatori publici Solidity.

Comparativ cu prima versiune a seifului, a doua versiune utilizează fluxuri de preț Chainlink pentru a îmbunătăți calitatea datelor, pentru a oferi securitate oracle și pentru a furniza prețuri exacte ale activelor. Utilizarea oracolelor de preț reduce expunerea la distorsiuni temporare de preț induse de împrumuturi temporare atunci când protocolul ValueDeFi extrage date din fondurile de lichidități de pe Curve sau din alte fluxuri de preț generate de lanț. În plus, deoarece fluxurile de preț Chainlink nu sunt actualizate simultan pe mai multe tranzacții, împrumuturile flash nu au capacitatea de a manipula prețul – deoarece există doar într-o singură tranzacție.

Echipa va crea un fond de compensare bazat pe fonduri pentru dezvoltatori, un fond de asigurări și o parte din taxele colectate prin protocol. Pentru a compensa utilizatorii pentru lipsa accesului la capitalul lor, echipa a creat jetoane IOU pentru a reprezenta fondurile care nu au fost returnate utilizatorilor. Jetoanele IOU au o inflație încorporată care va acumula automat 10% randament anual în fiecare săptămână.

De asemenea, echipa a continuat să caute o rezoluție cu hackerii. De exemplu, ea propus o distribuție DAI de 1 milion ca recompensă și a solicitat hackerilor să restituie fondurile rămase utilizatorilor afectați. Hackerii nu au răspuns încă la această solicitare.

Lecții dureroase

Recentele exploatări de împrumut flash pe protocoalele DeFi au expus încă o dată o lipsă de înțelegere în mecanica DeFi în rândul unor participanți la piață. În exploatarea protocolului ValueDeFi, un autodescris asistent medical și un tânăr de 19 ani auto-descris student a pierdut 100.000 $, respectiv 200.000 $. În timp ce hackerii au returnat asistenței și studentului 50.000 DAI și 45.000 DAI, aceștia au avertizat utilizatorii cu privire la riscurile asociate lipsei de cunoștințe și de precauție.

Hackerii din protocolul ValueDeFi au avertizat utilizatorii cu privire la riscurile investițiilor în protocoalele de cultivare a randamentului. Sursă: Etherscan

Exemplele menționate mai sus ilustrează modul în care unii participanți la DeFi iau în considerare doar rentabilitățile actuale din protocoalele de cultivare a randamentului fără a recunoaște riscurile inerente contractelor inteligente. Chiar și echipa ValueDeFi a reiterat faptul că există întotdeauna un element de risc implicat atunci când investiți în protocoale DeFi.

Odată cu implementarea noilor protocoale DeFi, devenind din ce în ce mai complexe, riscul investițiilor în aceste protocoale va crește probabil.

OKEx Insights prezintă analize de piață, caracteristici aprofundate, cercetări originale & știri organizate de profesioniști în domeniul cripto.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map