A ValueDeFi gyorshiteles támadás feltárja a kellő gondosság kritikus hiányát a DeFi-ben

Az OKEx Insights DeFi Digestje a decentralizált pénzügyi ágazat heti vizsgálata.

A DeFi piac pillanatképe

A decentralizált pénzügyi piac ezen a héten fenntartotta felfutó lendületét, mivel a DeFi termékeiben bezárt összérték kissé, 13,65 milliárdról 13,80 milliárdra emelkedett. 

A decentralizált hitelek piaca ezen a héten 8% -kal növekedett, mivel a teljes hitelfelvételi mennyiség elérte a 3,09 milliárd dollárt. A növekedésből profitálva a Maker az Uniswap helyére lépett a DeFi általános vezetőjeként, 17% -os piaci dominanciával. A Compound eközben megtartotta piaci dominanciáját a hitelezési szférában, 55% -os részesedéssel.

A decentralizált tőzsdék heti átlagos kereskedési volumene 20% -kal emelkedett, és ezen a héten elérte a 0,53 milliárd dollárt. Míg az Uniswap fenntartotta 37% -os kereskedési volumenét, a legnagyobb likviditási pooldal rendelkező pozícióját elsődleges versenytársa, a SushiSwap váltotta fel.

A DEX-ek heti kereskedési volumene 20% -kal nőtt. Forrás: DeFi Pulse és DeBank

A DeFi számára problémásnak bizonyuló gyorshiteles támadások

A gyorshiteles támadások fejfájássá váltak a DeFi közösség számára, mivel a hozamösszesítő ValueDeFi mindössze három hét alatt az ötödik áldozat lett. A Harvest Finance 34 millió dolláros veszteségét követően az Akropolis, az Origin Protocol és a Cheese Bank gyorshitel-kihasználása következett be 2 millió dollár, 7 millió dollár és 3,3 millió dollár, illetőleg.

A ValueDeFi november 14-én 6 millió dolláros gyorshitel-kihasználást szenvedett. Emiliano Bonassi, a fehér kalapos hacker által leírt, szerint a ValueDeFi protokoll gyorshitel-kihasználása bonyolultabb mint a korábbi támadások, mivel két gyorshitelt használtak fel. A hackerek elővették a gyorshitel 80 000 ETH – több mint 36 millió dollár értékben – és 116 millió dolláros gyorshitel a DAI-ban az Uniswap részéről a ValueDeFi protokoll kihasználására, ami 6 millió dolláros nettó veszteséget eredményez. 

A támadás részletes lépéseit Bonassi Twitter-fiókja szemléltette:

A hackerek két gyors hitelt használtak az Aave-en és az Uniswap-on az ValueDeFi protokoll kihasználására. Forrás: Twitter / @emilianobonassi

Szerint egy elemzés a PeckShield könyvvizsgáló cég végezte, a ValueDeFi protokoll kihasználásának kiváltó oka egy hiba volt benne "MultiStablesVaults," amely a görbét használja az eszközár mérésére. A hiba miatt a hackerek flash kölcsönökkel manipulálhatták a 3crv tokenek árát. Ezt követően kiégethették a készletből a zsetonokat, hogy a normál 24,95 millió helyett 33,08 millió 3 crv-os tokent aránytalanul beváltsanak. Ezután a hackerek beváltották a 3crv tokent a DAI számára, ami 7,4 millió dolláros veszteséghez vezetett a DAI-ban. (A hackerek azonban 2 millió dollárt utaltak vissza a ValueDeFi fő fejlesztőinek.)

A ValueDeFi orvosló intézkedései

A ValueDeFi csapata kiadta a post mortem elemzés amely felvázolja az azonnali jogorvoslati lehetőségeket és középtávú terveket az ilyen gyorshiteles támadások megelőzésére.


Első lépésként a MultiStables páncélszekrényben lévő betéteket leállították. A kompenzáció pontos összegének kiszámításához a csapat pillanatfelvételeket készített minden felhasználó egyensúlyáról a támadás előtt. A csapat a MultiStables boltozat második verziójának kiadását is tervezi. A megjelenést megelőzően a második értéktárat állami auditorok és az állami Solidity fejlesztők ellenőrzik.

A boltozat első verziójához, a második verzióhoz képest Chainlink árfolyamokat használ az adatok minőségének javítása, az oracle biztonságának biztosítása és a pontos eszközárak biztosítása. Az árajánlatok használata csökkenti az ideiglenes gyorshitel okozta ártorzulásoknak való kitettséget, amikor a ValueDeFi protokoll kivonja az adatokat a Curve láncon belüli likviditási készletéből vagy más lánc által generált árcsatornából. Továbbá, mivel a Chainlink árcsatornái nem frissülnek egyszerre több tranzakció során, a gyorshitelek nem képesek manipulálni az árat – mivel csak egyetlen tranzakción belül léteznek.

A csapat kompenzációs alapot hoz létre fejlesztői alapok, biztosítási alap és a protokoll által beszedett díjak egy része alapján. A felhasználók kompenzálására a tőkéhez való hozzáférés hiánya miatt a csapat IOU-tokent hozott létre, hogy képviselje azokat az alapokat, amelyeket nem adtak vissza a felhasználóknak. Az IOU tokenek beépített inflációval rendelkeznek, amely minden héten automatikusan felhalmozza az éves 10% -os hozamot.

A csapat a hackerekkel is folytatta a megoldást. Például azt javasolt 1 millió DAI disztribúció fejenként, és kérte, hogy a hackerek adják vissza a fennmaradó forrásokat az érintett felhasználóknak. A hackerek még nem válaszoltak erre a kérésre.

Fájdalmas tanulságok

A közelmúltban a DeFi protokollokra adott flash-hitelkihasználás ismét megmutatta a piaci szereplők közötti megértés hiányát a DeFi mechanikájában. A ValueDeFi protokoll kihasználásában egy önleírás ápoló és egy saját leírású 19 éves diák 100 000, illetve 200 000 dollárt veszített el. Míg a hackerek 50 000 DAI-t és 45 000 DAI-t adtak vissza az ápolónak és a hallgatónak, figyelmeztették a felhasználókat az ismeretek hiányával és az óvatossággal kapcsolatos kockázatokra.

A ValueDeFi protokoll hackerei kihasználva figyelmeztették a felhasználókat a hozamgazdálkodási protokollokba történő befektetés kockázataira. Forrás: Etherscan

A fent említett példák szemléltetik, hogy a DeFi egyes résztvevői hogyan veszik figyelembe csak a hozamtermesztési protokollok jelenlegi hozamát, anélkül, hogy tudomásul vennék az okos szerződésekben rejlő kockázatokat. Még a ValueDeFi csapata is megismételte, hogy a DeFi protokollokba történő befektetés során mindig van egy kockázati elem.

Az új DeFi protokollok telepítésének egyre összetettebbé válásával az ezekbe a protokollokba való befektetés kockázata valószínűleg csak növekszik.

Az OKEx Insights piacelemzéseket, mélyreható szolgáltatásokat, eredeti kutatásokat mutat be & kripto szakemberek kurátora.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map