Tržište DeFi-a premašuje 40 milijardi dolara jer Alpha Finance trpi najgori napad brzih zajmova u povijesti

DeFi Digest OKEx Insights tjedni je pregled decentralizirane financijske industrije.

DeFi Digest slika

Decentralizirano financijsko tržište ponovno je doseglo nove maksimume na začelju BTC-a dostigavši ​​prekretnicu od 50 000 USD na globalnim burzama. Ukupna vrijednost zaključana u proizvodima DeFi prvi je put premašila 40 milijardi dolara 12. veljače i zabilježila je 8-postotni tjedni dobitak.

Kontinuirani rast na tržištu DeFi vidljiv je u sferi kreditiranja, gdje su ukupne količine zaduživanja porasle za 13%, na 7,23 milijarde dolara. Compound je dominirao na tržištu kredita s 55% udjela.

Prosječni tjedni obujam trgovanja decentraliziranim razmjenama lagano je opao na 2,28 milijardi dolara u vrijeme pisanja ovog članka. Uniswap – koji nedavno obrađena kumulativni obujam od preko 100 milijardi USD – i dalje predvodi DEX-ove s 38% tržišnog udjela. Aave je ovog tjedna zamijenio SushiSwap kao najveći fond likvidnosti, čija je ukupna zaključana vrijednost iznosila 1,52 milijarde dolara.

Kategorija Ključne statistike Iznos Tjedna promjena u%
Sve u svemu Ukupna zaključana vrijednost (USD) 39,94 milijarde dolara 8%
Tržišna dominacija (%) Izrađivač (16%)
Kreditiranje Ukupno posuđivanje vol. 7,23 milijarde dolara 13%
Tržišna dominacija (%) Spoj (55%)
DEX-ovi Tjedni prosj. trgovanje sv. 2,28 milijardi dolara -6%
Tržišna dominacija (%) Otkaži (38%)
Prinos uzgoja Najveći fond likvidnosti Aave (1,52 milijarde USD)

Ovaj tjedan povećala se i ukupna zaključana vrijednost i obim posudbi tjedne količine DEX-ovog trgovanja pao 6%. Izvor: DeFi Pulse i DeBank

DeFi-ov najveći napad na flash zajam

Iako su sudionici tržišta DeFi ovog tjedna bili pretjerani oko TVL-ove prekretnice od 40 milijardi dolara, Alpha Finance pretrpjela je brzi napad na zajam koji je doveo do približno gubitka od 38 milijuna dolara. To je premašilo hack Harvest Financea od 34 milijuna dolara i postao najveći napad brzom zajmom u relativno kratkoj povijesti DeFi-a.

Prvo tim Alpha Finance proglasio flash napad na zajam 13. veljače. Tim je objavio a post-mortem sljedeći dan da podijelimo detalje eksploatacije Alpha Homora V2.

Post mortem je izjavio da je napadač pokrenuo složeni exploit koji je obuhvaćao više od devet transakcija, a koje je sažeto u 13 koraka. Tim je također naveo sljedeće rupe u pametnom ugovoru Alpha Homora V2 koje su omogućile eksploataciju:

  1. HomoraBankv2 imao je sUSD bazen koji je bio u pripremi i nije javno objavljen. SUSD-ov fond nije imao likvidnosti i napadač je mogao napuhati i ukupni iznos duga i udio ukupnog duga.
  2. Funkcija resolReserve mogla bi povećati ukupni dug bez povećanja ukupnog udjela duga. Ovu funkciju može izvršiti bilo koji korisnik.
  3. Došlo je do pogrešne izračuna zaokruživanja u izračunu funkcije zaduživanja. To je bilo primjenjivo samo kada je napadač bio jedini zajmoprimac.
  4. HomoraBankv2 prihvatio je bilo koju prilagođenu čaroliju od korisnika, s obzirom na to da je iznos kolaterala veći od iznosa posuđivanja. (Čarolija u Alpha Financeu slična je strategiji u Yearn Finance.)

Da bi pokrenuo složeni napad brze pozajmice, napadač prvo stvorio čaroliju u Alpha Homora V2. Zatim je napadač zamijenio ETH u sUSD na Uniswap-u i deponirao sUSD u Iron Bank of Cream Finance. Da bi manipulirao sUSD bazenom, napadač je posudio 1.000e18 sUSD i zaobišao sigurnosnu provjeru za polaganje znak likvidnosti UNI-WETH kao kolateral. Napadač je zauzvrat dobio 1.000e18 sUSD-ovih dionica duga. Za izvođenje ovih koraka napadač je iskoristio prvu i četvrtu rupu spomenutu ranije.

Iako je napadač bio jedini zajmoprimac u ovom podvigu Alpha Financea, oni su iskoristili pogrešku u zaokruživanju u funkciji zajma uzvraćajući udio sUSD-a jedan manji od ukupnog iznosa pozajmice. Tada napadač pogubljen funkcija resolReserve na sUSD banci, što je dovelo do akumuliranog duga od 19.709 milijardi sUSD, jer je ukupan udio duga ostao jedan.

Napadač je gornji postupak ponovio 26 puta i svaki je puta udvostručio posuđeni iznos. Budući da je svako posuđivanje bilo jedno manje od ukupne vrijednosti duga, to je dovelo do odgovarajućeg udjela zaduživanja od nule, a protokol nije mogao prepoznati posuđivanje. Tada je napadač nabavio brze zajmove od Aavea i oprao sredstva u Curveu.

Reakcija Alpha Financea


Što se tiče vremena pisanja, napadač održanog 10.925 ETH na adresu novčanika. Dok napadač ima deponiran preko 10 milijuna američkih dolara stabilnih kovanica ispod Curve-ovog mjerila, vratili su 1.000 ETH programerima Alpha Homora V2, odnosno Cream V2. Mali dio ukradenog ETH poslan je Tornadu i Gitcoin Grantu. Alpha tim procijenio je ukupan gubitak fonda na 38 milijuna dolara.

Tim Alpha naglasio je da je zaduživanje od napadača dug između platformi Alpha Homora V2 i Cream V2, što znači da sredstva korisnika nisu sudjelovala u ovom incidentu. Tim Alpha Finance poduzeo je sljedeće neposredne radnje kako bi zaustavio eksploataciju:

  • Uklonio je posuđivanje i otplatu funkcionalnosti sUSD-a, sprječavajući korisnike da otvaraju nove pozicije s polugom.
  • Osiguralo je da se mogu izvršavati samo čarolije s bijelog popisa.
  • Osiguralo je da samo guverner može izvršiti "RiješiRezerviraj" funkcija.
  • Kontaktirala je razne stranke kako bi stavila adresu napadača na crnu listu.

Iako davatelji likvidnosti ne mogu posuđivati ​​u alfi, oni i dalje mogu dodati kolateral, otplatiti dug, zatvoriti pozicije i ubrati svoje uzgojene tokene. Zajmodavci u Alpha Financeu, s druge strane, mogu posuđivati ​​i povlačiti imovinu, kao i obično.

Kako bi ublažio negativni utjecaj na korisnike Alpha Financea, tim surađuje s osnivačem Yearn Financea Andreom Cronjeom i timom Cream Finance kako bi riješio dug.

Kao srednjoročno i dugoročno rješenje, tim Alpha Finance nastavio je tražiti vanjske revizore i pouzdane programere da pregledaju njihove pametne ugovore. Tim također razmatra pokretanje novih i kreativnih programa nagrađivanja bugova za druge DeFi protokole koje treba slijediti.

OKEx Insights predstavlja analize tržišta, dubinske značajke i kurirane vijesti kripto profesionalaca.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map