DeFi Digest de OKEx Insights es un examen semanal de la industria financiera descentralizada.
El mercado financiero descentralizado volvió a alcanzar nuevos máximos gracias a que BTC alcanzó el hito de $ 50,000 en los intercambios globales. El valor total bloqueado en los productos DeFi superó por primera vez los $ 40 mil millones el 12 de febrero y ha registrado una ganancia semanal del 8%..
El continuo aumento en el mercado de DeFi ha sido evidente en la esfera de los préstamos, donde el volumen total de préstamos aumentó en un 13% a $ 7,23 mil millones. El compuesto dominó el mercado de préstamos con una participación del 55%.
El volumen de negociación promedio semanal de los intercambios descentralizados se redujo ligeramente a $ 2.28 mil millones, al momento de escribir este artículo. Uniswap, que recientemente procesada un volumen acumulado de más de $ 100 mil millones, continúa liderando los DEX con una participación de mercado del 38%. Aave reemplazó a SushiSwap como el grupo de liquidez más grande esta semana, con su valor total bloqueado que asciende a $ 1,52 mil millones..
| Categoría | Estadísticas clave | Cantidad | % De cambio semanal |
| En general | Valor total bloqueado (USD) | $ 39,94 mil millones | 8% |
| Dominio del mercado (%) | Creador (16%) | ||
| Préstamo | Vol. Total de endeudamiento. | $ 7.23 mil millones | 13% |
| Dominio del mercado (%) | Compuesto (55%) | ||
| DEX | Promedio semanal volumen de comercio. | $ 2.28 mil millones | -6% |
| Dominio del mercado (%) | Uniswap (38%) | ||
| Agricultura de rendimiento | El mayor grupo de liquidez | Aave ($ 1.52 mil millones) |
Esta semana, tanto el valor total bloqueado como los volúmenes de préstamos aumentaron, mientras que volúmenes de negociación DEX semanales cayó un 6%. Fuente: DeFi Pulse y DeBank
El mayor ataque de préstamos relámpago de DeFi
Mientras que los participantes del mercado de DeFi se entusiasmaron con el hito de TVL de $ 40 mil millones esta semana, Alpha Finance sufrió un ataque de préstamo urgente que condujo a una pérdida aproximada de $ 38 millones. Esto superó el hack de Harvest Finance de 34 millones de dólares y se convirtió en el mayor ataque de préstamo relámpago en la relativamente breve historia de DeFi..
El equipo de Alpha Finance primero declarado el ataque de préstamo rápido el 13 de febrero. El equipo lanzó una Post mortem al día siguiente para compartir los detalles del exploit Alpha Homora V2.
La autopsia indicó que el atacante lanzó un exploit complejo que involucró más de nueve transacciones, que se resumió en 13 pasos. El equipo también enumeró las siguientes lagunas en el contrato inteligente Alpha Homora V2 que hicieron posible el exploit:
- HomoraBankv2 tenía un fondo común de sUSD que estaba en preparación y no se dio a conocer públicamente. El fondo común de sUSD no tenía liquidez y el atacante podía inflar tanto el monto total de la deuda como la participación total de la deuda..
- La función resolveReserve podría aumentar la deuda total sin aumentar la participación de la deuda total. Esta función puede ser ejecutada por cualquier usuario..
- Hubo un error de cálculo de redondeo en el cálculo de la función de préstamo. Esto solo era aplicable cuando el atacante era el único prestatario..
- HomoraBankv2 aceptó cualquier hechizo personalizado de los usuarios, dado que el monto de la garantía es mayor que el monto del préstamo. (Un hechizo en Alpha Finance es similar a una estrategia en Yearn Finance).
Para lanzar el complejo ataque de préstamos flash, el atacante primero creó un hechizo en Alpha Homora V2. Luego, el atacante cambió ETH por sUSD en Uniswap y depositó sUSD en el Iron Bank of Cream Finance. Para manipular el fondo común de sUSD, el atacante pidió prestados 1.000e18 sUSD y pasó por alto el control de seguridad por depositando el token del fondo común de liquidez de UNI-WETH como garantía. El atacante obtuvo a cambio acciones de deuda de 1,000e18 sUSD. El atacante aprovechó la primera y cuarta lagunas mencionadas anteriormente para realizar estos pasos..
Si bien el atacante fue el único prestatario en este exploit de Alpha Finance, capitalizó el error de cálculo de redondeo en la función de préstamo al devolviendo la parte del sUSD de uno menos que el monto total del préstamo. El atacante entonces ejecutado la función resolveReserve en el banco sUSD, lo que lleva a una deuda acumulada de 19,709 mil millones de sUSD, ya que la participación total de la deuda se mantuvo en uno.
El atacante repitió los procedimientos anteriores 26 veces y duplicó la cantidad prestada cada vez. Como cada préstamo era uno menos que el valor total de la deuda, esto condujo a una proporción de préstamo correspondiente de cero, y el protocolo no pudo reconocer el préstamo. Luego, el atacante obtuvo préstamos flash de Aave y lavó los fondos en Curve..
La reacción de Alpha Finance
En el momento de redactar este informe, el atacante sostuvo 10,925 ETH en su dirección de billetera. Mientras el atacante ha depositado Más de $ 10 millones en monedas estables bajo el indicador de Curve, devolvieron 1,000 ETH a los desarrolladores de Alpha Homora V2 y Cream V2, respectivamente. Una pequeña parte del ETH robado se envió a Tornado y Gitcoin Grant. El equipo Alpha estimó una pérdida total de fondos de $ 38 millones..
El equipo de Alpha enfatizó que el préstamo de los atacantes era una deuda entre las plataformas Alpha Homora V2 y Cream V2, lo que significa que los fondos de los usuarios no estuvieron involucrados en este incidente. El equipo de Alpha Finance tomó las siguientes acciones inmediatas para detener el exploit:
- Eliminó la funcionalidad de préstamo y reembolso de sUSD, evitando que los usuarios abran nuevas posiciones apalancadas.
- Se aseguró de que solo se pudieran ejecutar los hechizos de la lista blanca..
- Se aseguró de que solo el gobernador pudiera ejecutar el "resolveReserve" función.
- Se contactó con varias partes para incluir en la lista negra la dirección del atacante..
Si bien los proveedores de liquidez no pueden pedir prestado en Alpha, aún pueden agregar garantías, pagar deudas, cerrar posiciones y cosechar sus tokens cultivados. Los prestamistas en Alpha Finance, por otro lado, pueden prestar y retirar activos, como de costumbre..
Para mitigar el impacto negativo que reciben los usuarios de Alpha Finance, el equipo se está asociando con el fundador de Yearn Finance, Andre Cronje, y el equipo de Cream Finance para resolver la deuda..
Como solución de mediano a largo plazo, el equipo de Alpha Finance continuó buscando auditores externos y desarrolladores confiables para revisar sus contratos inteligentes. El equipo también está considerando lanzar programas de recompensas de errores nuevos y creativos para que los sigan otros protocolos DeFi..
OKEx Insights presenta análisis de mercado, características detalladas y noticias seleccionadas de criptoprofesionales.
