ValueDeFi napad na flash zajam razotkriva kritični nedostatak dubinske analize u DeFi-u

DeFi Digest OKEx Insights tjedni je pregled decentralizirane financijske industrije.

Snimka tržišta DeFi-a

Decentralizirano financijsko tržište održalo je svoj bikovski zamah ovaj tjedan jer je ukupna vrijednost zaključana u proizvodima DeFi blago porasla s 13,65 milijardi na 13,80 milijardi dolara.. 

Tržište decentraliziranih zajmova poraslo je ovog tjedna za 8% jer je ukupan opseg zaduživanja dosegao 3,09 milijardi dolara. Iskoristivši rast, Maker je zamijenio Uniswap kao sveukupnog lidera DeFi-a, sa 17% tržišne dominacije. U međuvremenu je Compound zadržao svoju dominaciju na tržištu u sferi kreditiranja, s udjelom od 55%.

Prosječni tjedni obujam decentraliziranih burzi porastao je za 20% i dosegao 0,53 milijarde američkih dolara ovog tjedna. Dok je Uniswap zadržao dominaciju u opsegu trgovanja od 37%, njegovu poziciju najvećeg fonda likvidnosti zamijenio je primarni konkurent SushiSwap.

Tjedni obujam trgovanja DEX-ovima porastao je za 20%. Izvor: DeFi puls i DeBank

Napadi na flash zajmove koji se pokazuju problematičnima za DeFi

Napadi na flash zajmove postali su glavobolja za zajednicu DeFi jer je agregator prinosa ValueDeFi postao peta žrtva u samo tri tjedna. Nakon 34 milijuna dolara gubitka od Harvest Financea, došlo je do eksplozija brzih zajmova Akropolisa, Protokola o podrijetlu i Banke sira, uz gubitak 2 milijuna dolara, 7 milijuna dolara i 3,3 milijuna dolara, odnosno.

ValueDeFi je 14. studenoga pretrpio eksploataciju flash kredita u iznosu od 6 milijuna dolara. Prema Emilianu Bonassiju, samoopisanom hakeru bijelog šešira, eksploatacija flash kredita na ValueDeFi protokolu bila je kompleksnije nego prethodni napadi, jer su korištena dva brza zajma. Hakeri su izvadili a flash zajam od 80 000 ETH – vrijedan preko 36 milijuna USD – i flash zajam u DAI-u od Uniswap-a za eksploataciju ValueDeFi protokola, što je rezultiralo neto gubitkom od 6 milijuna. 

Detaljni koraci za napad ilustrirani su na Bonassijevom Twitter računu:

Hakeri su koristili dvije brze pozajmice na Aave i Uniswap kako bi iskoristili ValueDeFi protokol. Izvor: Twitter / @emilianobonassi

Prema an analiza koju je provela revizorska kuća PeckShield, osnovni uzrok eksploatacije protokola ValueDeFi bila je greška u njenom radu "MultiStablesVaults," koji koristi Curve za mjerenje cijene imovine. Zbog buga, hakeri su mogli koristiti flash kredite za manipulaciju cijenom 3crv tokena. Nakon toga, kovani tokeni mogli bi izgorjeti iz bazena kako bi otkupili nesrazmjeran udio od 33,08 milijuna 3crv tokena, umjesto uobičajenih 24,95 milijuna. Hakeri su tada iskoristili 3crv tokene za DAI, što je dovelo do gubitka u DAI-u od 7,4 milijuna dolara. (Međutim, hakeri su glavnim programerima ValueDeFi-a vratili 2 milijuna dolara.)

Sanacijske mjere ValueDeFi-ja

Tim ValueDeFi objavio je a post-mortem analiza koji opisuje neposredne lijekove i srednjoročne planove za sprečavanje takvih napada na brze zajmove.

Kao prvi korak zaustavljeni su depoziti u trezoru MultiStables. Kako bi izračunao točan iznos naknade, tim je napravio snimke stanja svakog korisnika prije napada. Tim također planira objaviti drugu verziju trezora MultiStables. Prije objavljivanja, drugi će trezor revidirati javni revizori i javni programeri Solidity.

U usporedbi s prvom verzijom trezora, drugom verzijom koristi feedove cijena Chainlink za poboljšanje kvalitete podataka, pružanje oracle sigurnosti i isporuku točnih cijena imovine. Upotreba cjenovnih proroka smanjuje izloženost privremenim izobličenjima cijena izazvanim trenutnim zajmom kada ValueDeFi protokol izvlači podatke iz Curve-ovih lanaca baze likvidnosti ili drugih lanaca generiranih feedova cijena. Uz to, budući da se feedovi cijena Chainlink-a ne ažuriraju istovremeno tijekom više transakcija, flash krediti nemaju mogućnost manipulacije cijenom – jer postoje samo u okviru jedne transakcije.

Tim će stvoriti kompenzacijski fond na temelju fondova programera, fonda osiguranja i dijela naknada prikupljenih protokolom. Kako bi nadoknadio korisnicima nedostatak pristupa njihovom kapitalu, tim je stvorio IOU tokene koji predstavljaju sredstva koja nisu vraćena korisnicima. IOU tokeni imaju ugrađenu inflaciju koja će automatski prikupljati 10% godišnjeg postotka svakog tjedna.

Tim je također nastavio tražiti rješenje s hakerima. Na primjer, to zaprosio distribuciju od milijun DAI kao blagodat i zatražio je da hakeri vrate preostala sredstva pogođenim korisnicima. Hakeri još nisu odgovorili na ovaj zahtjev.

Bolne lekcije

Nedavna iskorištavanja flash pozajmica na DeFi protokolima još su jednom otkrila nedostatak razumijevanja za DeFi mehaniku među nekim sudionicima na tržištu. U eksploataciji protokola ValueDeFi, samoopisani medicinska sestra i samoopisani 19-godišnjak student izgubio 100.000, odnosno 200.000 dolara. Iako su hakeri medicinskoj sestri i studentu vratili 50.000 DAI, odnosno 45.000 DAI, upozorili su korisnike na rizike povezane s njihovim nedostatkom znanja i opreza.

Hakeri u eksploataciji protokola ValueDeFi upozorili su korisnike na rizike ulaganja u protokole uzgoja prinosa. Izvor: Etherscan

Spomenuti primjeri ilustriraju kako neki sudionici DeFi-a uzimaju u obzir samo trenutni prinos od protokola uzgoja prinosa, a da pritom ne priznaju rizike svojstvene pametnim ugovorima. Čak je i tim ValueDeFi ponovio da uvijek postoji element rizika koji se odnosi na investiranje u DeFi protokole.

S postavljanjem novih DeFi protokola koji postaju sve složeniji, rizici ulaganja u ove protokole vjerojatno će se samo povećati.

OKEx Insights predstavlja analize tržišta, dubinske značajke, originalna istraživanja & kurirane vijesti kripto profesionalaca.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Social Links
Facebooktwitter
Promo
banner
Promo
banner