Rynek DeFi przekracza 40 miliardów dolarów, ponieważ Alpha Finance cierpi z powodu najgorszego ataku pożyczki błyskawicznej w historii

DeFi Digest firmy OKEx Insights to cotygodniowe badanie zdecentralizowanej branży finansowej.

Zdjęcie DeFi Digest

Zdecentralizowany rynek finansowy ponownie osiągnął nowe szczyty z tyłu BTC, osiągając kamień milowy 50000 USD na światowych giełdach. Całkowita wartość produktów DeFi po raz pierwszy przekroczyła 40 miliardów dolarów 12 lutego i odnotowała tygodniowy wzrost o 8%.

Dalszy wzrost na rynku DeFi był widoczny w sferze pożyczek, gdzie całkowity wolumen pożyczek wzrósł o 13% do 7,23 mld USD. Compound zdominował rynek pożyczek z 55% udziałem.

Średni tygodniowy wolumen obrotu zdecentralizowanych giełd spadł nieznacznie do 2,28 miliarda dolarów w momencie pisania tego tekstu. Uniswap – co ostatnio obrobiony skumulowany wolumen ponad 100 miliardów dolarów – nadal prowadzi DEX z 38% udziałem w rynku. Aave zastąpił SushiSwap jako największą pulę płynności w tym tygodniu, a jego całkowita wartość zablokowana na poziomie 1,52 miliarda dolarów.

Kategoria Kluczowe statystyki Ilość Tygodniowa zmiana w%
Ogólny Całkowita wartość zablokowana (USD) 39,94 miliarda dolarów 8%
Dominacja na rynku (%) Twórca (16%)
Pożyczanie Całkowity wolumen zadłużenia. 7,23 miliarda dolarów 13%
Dominacja na rynku (%) Związek (55%)
DEXy Tygodniowa śr. Trading vol. 2,28 miliarda dolarów -6%
Dominacja na rynku (%) Uniswap (38%)
Uprawa plonów Największa pula płynności Aave (1,52 miliarda dolarów)

W tym tygodniu zarówno łączna wartość zablokowana, jak i wolumeny zadłużenia wzrosły, podczas gdy tygodniowe wolumeny transakcji DEX spadł o 6%. Źródło: DeFi Pulse i DeBank

Największy atak na pożyczkę błyskawiczną DeFi

Podczas gdy uczestnicy rynku DeFi byli podekscytowani osiągnięciem 40 miliardów dolarów TVL w tym tygodniu, Alpha Finance przeszła atak pożyczki błyskawicznej, który doprowadził do straty w przybliżeniu w wysokości 38 milionów dolarów. To przekroczyło hack Harvest Finance o 34 miliony dolarów i stało się największym atakiem na pożyczki błyskawiczne w stosunkowo krótkiej historii DeFi.

Najpierw zespół Alpha Finance zdeklarowany atak błyskawicznej pożyczki 13 lutego. Zespół wydał plik sekcja zwłok następnego dnia, aby podzielić się szczegółami exploita Alpha Homora V2.

W sekcji zwłok stwierdzono, że osoba atakująca uruchomiła złożonego exploita obejmującego ponad dziewięć transakcji, które podsumowano w 13 krokach. Zespół wymienił również następujące luki w inteligentnym kontrakcie Alpha Homora V2, które umożliwiły dokonanie exploita:

  1. HomoraBankv2 miał pulę sUSD, która była w przygotowaniu i nie została publicznie udostępniona. Pula sUSD nie miała płynności, a osoba atakująca mogła zawyżyć zarówno całkowitą kwotę długu, jak i całkowity udział długu.
  2. Funkcja ResolutionReserve może zwiększyć całkowity dług bez zwiększania całkowitego udziału w zadłużeniu. Ta funkcja może być wykonana przez dowolnego użytkownika.
  3. Podczas obliczania funkcji pożyczki wystąpił błąd podczas zaokrąglania. Miało to zastosowanie tylko wtedy, gdy atakujący był jedynym pożyczkobiorcą.
  4. HomoraBankv2 akceptował wszelkie spersonalizowane zaklęcia od użytkowników, biorąc pod uwagę, że kwota zabezpieczenia jest większa niż kwota pożyczki. (Zaklęcie w Alpha Finance jest podobne do strategii w Yearn Finance).

Aby przeprowadzić złożony atak pożyczki błyskawicznej, najpierw atakujący stworzył zaklęcie w Alpha Homora V2. Atakujący następnie zamienił ETH na sUSD na Uniswap i zdeponował sUSD w Iron Bank of Cream Finance. Aby manipulować pulą sUSD, atakujący pożyczył 1000e18 sUSD i ominął kontrolę bezpieczeństwa deponowanie token puli płynności UNI-WETH jako zabezpieczenie. Atakujący uzyskał w zamian akcje dłużne w wysokości 1000e18 sUSD. Atakujący wykorzystał pierwszą i czwartą lukę wspomnianą wcześniej, aby wykonać te czynności.

Atakujący był jedynym pożyczkobiorcą w tym exploicie Alpha Finance, ale wykorzystał błędne zaokrąglenia w funkcji pożyczki przez spłacanie udział kursu sUSD o jeden mniejszy niż całkowita kwota pożyczki. A zatem napastnik wykonany funkcja ResolutionReserve w banku sUSD, prowadząca do narosłego zadłużenia w wysokości 19,709 mld sUSD, ponieważ całkowity udział długu pozostał jeden.

Atakujący powtórzył powyższe procedury 26 razy i za każdym razem podwajał pożyczoną kwotę. Ponieważ każda pożyczka była o jeden mniejsza niż całkowita wartość zadłużenia, doprowadziło to do zerowego udziału pożyczki, a protokół nie mógł rozpoznać pożyczki. Atakujący następnie uzyskał błyskawiczne pożyczki od Aave i wyprał fundusze w Curve.

Reakcja Alpha Finance


W chwili pisania tego tekstu osoba atakująca trzymany 10 925 ETH w adresie portfela. Podczas gdy napastnik ma zdeponowany stablecoiny o wartości ponad 10 milionów dolarów według wskaźnika Curve, zwrócili odpowiednio 1000 ETH deweloperom Alpha Homora V2 i Cream V2. Niewielka część skradzionego ETH została wysłana do Tornado i Gitcoin Grant. Zespół Alpha oszacował całkowitą stratę funduszu na 38 milionów dolarów.

Zespół Alpha podkreślił, że pożyczka od atakujących była długiem między platformami Alpha Homora V2 i Cream V2, co oznacza, że ​​w ten incydent nie były zaangażowane środki użytkowników. Zespół Alpha Finance podjął następujące natychmiastowe działania, aby zatrzymać exploita:

  • Usunięto funkcję pożyczania i spłaty sUSD, uniemożliwiając użytkownikom otwieranie nowych lewarowanych pozycji.
  • Zapewniało to, że można było wykonywać tylko zaklęcia z białej listy.
  • Zapewniało, że tylko gubernator mógł wykonać "rozwiązaćReserve" funkcjonować.
  • Skontaktował się z różnymi stronami, aby umieścić na czarnej liście adres atakującego.

Chociaż dostawcy płynności nie mogą pożyczać w Alpha, nadal mogą dodawać zabezpieczenie, spłacać zadłużenie, zamykać pozycje i zbierać żetony hodowane. Z drugiej strony pożyczkodawcy w Alpha Finance mogą pożyczać i wypłacać aktywa, jak zwykle.

Aby złagodzić negatywny wpływ na użytkowników Alpha Finance, zespół współpracuje z założycielem Yearn Finance, Andre Cronje, i zespołem Cream Finance, aby spłacić dług.

Jako rozwiązanie średnio- i długoterminowe, zespół Alpha Finance nadal poszukiwał zewnętrznych audytorów i zaufanych programistów, którzy weryfikowaliby ich inteligentne kontrakty. Zespół rozważa również uruchomienie nowych i kreatywnych programów do zgłaszania błędów dla innych protokołów DeFi.

OKEx Insights przedstawia analizy rynku, szczegółowe funkcje i wyselekcjonowane wiadomości od specjalistów od kryptowalut.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map