התקפת ValueDeFi הלוואת פלאש חושפת חוסר ביקורת נאותות קריטי ב- DeFi

OKEx Insights ‘DeFi Digest הוא בחינה שבועית של ענף הפיננסים המבוזר.

תמונת מצב של שוק ה- DeFi

שוק הפיננסים המבוזר שמר על המומנטום השורי השבוע, שכן הערך הכולל הנעול במוצרי DeFi עלה מעט מ -13.65 מיליארד דולר ל -13.80 מיליארד דולר.. 

שוק ההלוואות המבוזרת צמח השבוע ב -8% מכיוון שהיקף ההלוואות הכולל הגיע ל -3.09 מיליארד דולר. מרוויחה מהצמיחה, Maker החליפה את Uniswap כמובילת DeFi הכוללת, עם רמת דומיננטיות בשוק. מתחם שמר, בינתיים, על הדומיננטיות בשוק בתחום ההלוואות, עם נתח של 55%.

מחזור המסחר השבועי הממוצע של הבורסות המבוזרות עלה ב -20% והגיע השבוע ל 0.53 מיליארד דולר. בעוד ש- Uniswap שמרה על הדומיננטיות שלה בהיקף המסחר של 37%, מעמדה כבעלת מאגר הנזילות הגדול ביותר הוחלף על ידי המתחרה העיקרית שלה, SushiSwap..

מחזור המסחר השבועי של DEX צמח ב -20%. מָקוֹר: דופק דפי ו דבנק

התקפות הלוואת פלאש שהוכיחו בעייתיות עבור DeFi

התקפות הלוואת פלאש הפכו לכאב ראש עבור קהילת DeFi, מכיוון ש- ValueDeFi הפך לקורבן החמישי בתוך שלושה שבועות בלבד. בעקבות ההפסד של 34 מיליון דולר מ- Harvest Finance, נרשמו ניצולי הלוואות בזק של אקרופוליס, פרוטוקול המקור ובנק הגבינות, עם הפסד של 2 מיליון דולר, 7 מיליון דולר ו 3.3 מיליון דולר, בהתאמה.

ValueDeFi סבל ממיצוי של 6 מיליון דולר בהלוואות פלאש ב 14 בנובמבר. לדברי אמיליאנו בונאסי, האקר בעל כובע לבן לבן המתואר בעצמו, ניצול הלוואת ההבזק בפרוטוקול ValueDeFi היה מסובך יותר מהתקפות קודמות, שכן נעשה שימוש בשתי הלוואות בזק. האקרים הוציאו א הלוואת פלאש של 80,000 ETH – בשווי של יותר מ -36 מיליון דולר – והלוואת בזק של 116 מיליון דולר ב- DAI מ- Uniswap לצורך ניצול פרוטוקול ValueDeFi, וכתוצאה מכך הפסד נקי של 6 מיליון דולר. 

הצעדים המפורטים להתקפה הודגמו בחשבון הטוויטר של בונסי:

האקרים השתמשו בשתי הלוואות פלאש ב- Aave וב- Uniswap כדי לנצל את פרוטוקול ValueDeFi. מָקוֹר: טוויטר / @emilianobonassi

על פי אָנָלִיזָה שנערך על ידי חברת הביקורת PeckShield, הסיבה הבסיסית לניצול פרוטוקול ValueDeFi הייתה באג "MultiStablesVaults," המשתמשת ב- Curve למדידת מחיר הנכס. בגלל הבאג, האקרים הצליחו להשתמש בהלוואות פלאש כדי לטפל במחיר של אסימונים של 3crv. לאחר מכן הם יכלו לשרוף את האסימונים המוטבעים מהבריכה כדי לממש נתח לא פרופורציונלי של 33.08 מיליון אסימונים 3crv, במקום 24.95 מיליון הרגילים. לאחר מכן מימשו האקרים את אסימוני 3crv עבור DAI, מה שהוביל להפסד של 7.4 מיליון דולר ב- DAI. (אולם ההאקרים החזירו 2 מיליון דולר למפתחי הליבה של ValueDeFi.)

פעולות תיקון של ValueDeFi

צוות ValueDeFi פרסם א ניתוח שלאחר המוות המתאר תרופות מיידיות ותוכניות לטווח בינוני למניעת התקפות הלוואות הבזק מסוג זה.


כצעד ראשון, הפקדות בכספת MultiStables נעצרו. כדי לחשב את סכום הפיצוי המדויק, הצוות צילם תצלומים של היתרה של כל משתמש לפני ההתקפה. הצוות גם מתכנן לשחרר גרסה שנייה לכספת MultiStables. לפני השחרור הכספת השנייה תיבדק על ידי מבקרי ציבור ומפתחי סולידציה ציבורית.

לעומת הגרסה הראשונה של הכספת, הגרסה השנייה משתמש בהזנות מחיר של Chainlink כדי לשפר את איכות הנתונים, לספק אבטחת אורקל ולספק מחירי נכסים מדויקים. השימוש באורקלים של מחירים מפחית את החשיפה לעיוותי מחירים זמניים של הלוואות בזק כאשר פרוטוקול ValueDeFi מחלץ נתונים ממאגרי הנזילות ברשת של Curve או ממאכירי מחירים אחרים שנוצרו ברשת. בנוסף, מכיוון שעדכוני המחירים של Chainlink אינם מתעדכנים בו זמנית במספר עסקאות, להלוואות פלאש אין יכולת לתפעל את המחיר – מכיוון שהן קיימות רק בעסקה אחת..

הצוות ייצור קרן פיצויים על בסיס כספי יזמים, קרן ביטוח וחלק מהעמלות שנגבו על ידי הפרוטוקול. כדי לפצות את המשתמשים על חוסר הגישה להון שלהם, הצוות יצר אסימונים של IOU שייצגו את הכספים שלא הוחזרו למשתמשים. לאסימוני ה- IOU אינפלציה מובנית שתצבור באופן אוטומטי 10% תשואה שנתית בכל שבוע.

הצוות גם המשיך לחפש פתרון עם ההאקרים. למשל, זה מוּצָע הפצה של מיליון מיליון DAI כפרס וביקשה שהאקרים יחזירו את הכספים שנותרו למשתמשים המושפעים. האקרים טרם נענו לבקשה זו.

שיעורים כואבים

ניצולי ההלוואות הבזק האחרונות בפרוטוקולי DeFi חשפו שוב חוסר הבנה במכניקת DeFi בקרב חלק ממשתתפי השוק. בפרוטוקול ValueDeFi לנצל, תיאור עצמי אָחוֹת וילד בן 19 המתואר בעצמו סטוּדֶנט הפסידו 100 אלף דולר ו -200 אלף דולר בהתאמה. בעוד האקרים החזירו 50,000 DAI ו- 45,000 DAI לאחות ולסטודנט, בהתאמה, הם הזהירו משתמשים מפני הסיכונים הכרוכים בחוסר הידע והזהירות שלהם..

האקרים בפרוטוקול ValueDeFi מנצלים את המשתמשים מפני הסיכונים של השקעה בפרוטוקולים של חקלאות תשואה. מָקוֹר: אתרסקאן

הדוגמאות האמורות ממחישות כיצד חלק ממשתתפי ה- DeFi שוקלים רק את התשואות הנוכחיות מפרוטוקולי חקלאות מבלי להכיר בסיכונים הטמונים בחוזים חכמים. אפילו צוות ה- ValueDeFi שב והדגיש כי תמיד ישנו מרכיב של סיכון בהשקעה בפרוטוקולים של DeFi.

עם פריסתם של פרוטוקולי DeFi חדשים הופכת מורכבת יותר ויותר, הסיכונים של השקעה בפרוטוקולים אלה עשויים רק לגדול.

OKEx Insights מציג ניתוחי שוק, מאפיינים מעמיקים, מחקר מקורי & אוצר חדשות מאנשי מקצוע בקריפטו.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map