El ataque de préstamos rápidos ValueDeFi expone una falta crítica de debida diligencia en DeFi

DeFi Digest de OKEx Insights es un examen semanal de la industria financiera descentralizada.

Instantánea del mercado DeFi

El mercado financiero descentralizado mantuvo su impulso alcista esta semana, ya que el valor total bloqueado en los productos DeFi aumentó ligeramente de $ 13.65 mil millones a $ 13.80 mil millones.. 

El mercado de préstamos descentralizados creció un 8% esta semana, ya que el volumen total de préstamos alcanzó los 3.090 millones de dólares. Beneficiándose del crecimiento, Maker reemplazó a Uniswap como líder general de DeFi, con un nivel de dominio del mercado del 17%. Compound, por su parte, mantuvo su dominio de mercado en el ámbito crediticio, con una participación del 55%..

El volumen de negociación promedio semanal de los intercambios descentralizados aumentó en un 20% y alcanzó los $ 0.53 mil millones esta semana. Si bien Uniswap mantuvo su dominio en el volumen de operaciones del 37%, su posición de tener el mayor grupo de liquidez fue reemplazada por su principal competidor, SushiSwap..

El volumen de negociación semanal de DEX creció un 20%. Fuente: Pulso DeFi y DeBank

Los ataques de préstamos relámpago resultan problemáticos para DeFi

Los ataques de préstamos relámpago se han convertido en un dolor de cabeza para la comunidad de DeFi, ya que el agregador de rendimiento ValueDeFi se convirtió en la quinta víctima en solo tres semanas. Tras la pérdida de $ 34 millones de Harvest Finance, ha habido explotaciones de préstamos urgentes de Akropolis, Origin Protocol y Cheese Bank, con una pérdida de $ 2 millones, $ 7 millones y $ 3.3 millones, respectivamente.

ValueDeFi sufrió un exploit de préstamo flash de $ 6 millones el 14 de noviembre. Según Emiliano Bonassi, un hacker de sombrero blanco que se describe a sí mismo, el exploit de préstamo flash en el protocolo ValueDeFi fue mas complejo que los ataques anteriores, ya que se utilizaron dos préstamos flash. Los piratas informáticos sacaron un préstamo flash de 80.000 ETH – valorado en más de $ 36 millones – y un préstamo flash de $ 116 millones en DAI de Uniswap para explotar el protocolo ValueDeFi, lo que resultó en una pérdida neta de $ 6 millones. 

Los pasos detallados para el ataque se ilustraron en la cuenta de Twitter de Bonassi:

Los piratas informáticos utilizaron dos préstamos flash en Aave y Uniswap para explotar el protocolo ValueDeFi. Fuente: Twitter / @emilianobonassi

Según un análisis realizada por la firma de auditoría PeckShield, la causa raíz del exploit del protocolo ValueDeFi fue un error en su "MultiStablesVaults," que usa Curve para medir el precio del activo. Debido al error, los piratas informáticos pudieron usar préstamos flash para manipular el precio de los tokens 3crv. Después de eso, podrían quemar las fichas acuñadas del grupo para canjear una parte desproporcionada de 33,08 millones de fichas 3crv, en lugar de los 24,95 millones normales. Luego, los piratas informáticos canjearon los tokens 3crv por DAI, lo que provocó una pérdida de $ 7,4 millones en DAI. (Sin embargo, los piratas informáticos devolvieron 2 millones de dólares a los desarrolladores principales de ValueDeFi).

Acciones correctivas de ValueDeFi

El equipo de ValueDeFi publicó un análisis post-mortem que describe soluciones inmediatas y planes a mediano plazo para prevenir tales ataques de préstamos urgentes.

Como primer paso, se han detenido los depósitos en la bóveda de MultiStables. Para calcular la cantidad exacta de compensación, el equipo ha tomado instantáneas del saldo de cada usuario antes del ataque. El equipo también planea lanzar una segunda versión de la bóveda de MultiStables. Antes del lanzamiento, la segunda bóveda será auditada por auditores públicos y desarrolladores públicos de Solidity..

En comparación con la primera versión de la bóveda, la segunda versión utiliza feeds de precios de Chainlink para mejorar la calidad de los datos, proporcionar seguridad de Oracle y ofrecer precios de activos precisos. El uso de oráculos de precios reduce la exposición a distorsiones temporales de precios inducidas por préstamos repentinos cuando el protocolo ValueDeFi extrae datos de los fondos de liquidez en cadena de Curve u otras fuentes de precios generadas en cadena. Además, dado que las fuentes de precios de Chainlink no se actualizan simultáneamente en múltiples transacciones, los préstamos flash no tienen la capacidad de manipular el precio, ya que solo existen dentro de una sola transacción..

El equipo creará un fondo de compensación basado en los fondos del desarrollador, un fondo de seguro y una parte de las tarifas recaudadas por el protocolo. Para compensar a los usuarios por la falta de acceso a su capital, el equipo ha creado tokens IOU para representar los fondos que no se han devuelto a los usuarios. Los tokens IOU tienen una inflación incorporada que automáticamente acumulará un rendimiento porcentual anual del 10% cada semana..

El equipo también ha seguido buscando una solución con los piratas informáticos. Por ejemplo, propuesto una distribución de 1 millón de DAI como recompensa y solicitó que los piratas informáticos devolvieran los fondos restantes a los usuarios afectados. Los piratas informáticos aún no han respondido a esta solicitud..

Lecciones dolorosas

Los recientes exploits de préstamos relámpago en los protocolos DeFi una vez más expusieron la falta de comprensión de la mecánica de DeFi entre algunos participantes del mercado. En el exploit del protocolo ValueDeFi, un autodescrito enfermera y un joven de 19 años que se describe a sí mismo estudiante perdió $ 100,000 y $ 200,000, respectivamente. Si bien los piratas informáticos devolvieron 50,000 DAI y 45,000 DAI a la enfermera y al estudiante, respectivamente, advirtieron a los usuarios sobre los riesgos asociados con su falta de conocimiento y precaución..

Los piratas informáticos en la explotación del protocolo ValueDeFi advirtieron a los usuarios sobre los riesgos de invertir en protocolos de cultivo de rendimiento. Fuente: Etherscan

Los ejemplos mencionados anteriormente ilustran cómo algunos participantes de DeFi solo consideran los retornos actuales de los protocolos de cultivo de rendimiento sin reconocer los riesgos inherentes a los contratos inteligentes. Incluso el equipo de ValueDeFi reiteró que siempre hay un elemento de riesgo involucrado al invertir en protocolos DeFi..

Con el despliegue de nuevos protocolos DeFi cada vez más complejo, es probable que los riesgos de invertir en estos protocolos solo aumenten..

OKEx Insights presenta análisis de mercado, características detalladas, investigación original & noticias seleccionadas de criptoprofesionales.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map