DeFi Digest OKEx Insights je tedenski pregled decentralizirane finančne industrije.
Decentralizirani finančni trg je znova dosegel vrhunce na zadnji strani BTC in dosegel mejo 50.000 USD na svetovnih borzah. Skupna vrednost izdelkov DeFi je 12. februarja prvič presegla 40 milijard ameriških dolarjev in je zabeležila 8-odstotni tedenski dobiček.
Nadaljevanje rasti na trgu DeFi se kaže v posojilni sferi, kjer se je skupni obseg zadolževanja povečal za 13% na 7,23 milijarde USD. Na trgu posojil je prevladoval Compound s 55-odstotnim deležem.
Tedenski povprečni obseg trgovanja z decentraliziranimi borzami se je v času pisanja te knjige nekoliko zmanjšal na 2,28 milijarde USD. Uniswap – ki pred kratkim obdelan kumulativni obseg več kot 100 milijard USD – še naprej vodi DEX-je z 38-odstotnim tržnim deležem. Aave je ta teden zamenjal SushiSwap kot največji likvidnostni sklad, katerega skupna zaklenjena vrednost je znašala 1,52 milijarde dolarjev.
| Kategorija | Ključne statistike | Znesek | Tedenski% sprememb |
| Na splošno | Skupna vrednost zaklenjena (USD) | 39,94 milijarde dolarjev | 8% |
| Tržna prevlada (%) | Izdelovalec (16%) | ||
| Posojanje | Skupno izposojanje vol. | 7,23 milijarde dolarjev | 13% |
| Tržna prevlada (%) | Spojina (55%) | ||
| DEX-ji | Tedensko povpr. trgovanje zv. | 2,28 milijarde dolarjev | -6% |
| Tržna prevlada (%) | Odstrani (38%) | ||
| Donosno kmetovanje | Največji likvidnostni sklad | Aave (1,52 milijarde USD) |
Ta teden se je tako zaklenjena vrednost kot obseg zadolževanja povečala, medtem ko tedenski obseg trgovanja z DEX padla za 6%. Vir: DeFi Pulse in DeBank
Največji napad Flash posojila DeFi
Medtem ko so bili udeleženci na trgu DeFi ta teden zmedeni glede mejnika TVL v višini 40 milijard dolarjev, je Alpha Finance doživela hiter napad na posojilo, ki je privedel do približno 38 milijonov dolarjev izgube. To je preseglo hack Harvest Finance v višini 34 milijonov dolarjev in postalo največji napad na hitra posojila v razmeroma kratki zgodovini DeFi-ja.
Najprej ekipa Alpha Finance razglašena hitri posojilni napad 13. februarja. Ekipa je izdala a posmrtni naslednji dan za izmenjavo podrobnosti o podvigu Alpha Homora V2.
Post mortem je izjavil, da je napadalec sprožil zapleten podvig, ki je vključeval več kot devet transakcij, kar je bilo povzeto v 13 korakih. Skupina je v pametni pogodbi Alpha Homora V2 navedla tudi naslednje vrzeli, ki so omogočile izkoriščanje:
- HomoraBankv2 je imel bazen sUSD, ki je bil v pripravi in ni bil javno objavljen. Skupina sUSD ni imela likvidnosti in napadalec je lahko napihnil tako celotni znesek dolga kot celotni delež dolga.
- Funkcija resolReserve bi lahko povečala skupni dolg, ne da bi povečala skupni delež dolga. To funkcijo lahko izvaja vsak uporabnik.
- Pri izračunu funkcije zadolževanja je prišlo do napačne zaokrožitve. To je veljalo le, kadar je bil napadalec edini posojilojemalec.
- HomoraBankv2 je od uporabnikov sprejel kakršen koli urok po meri, saj je znesek zavarovanja večji od zneska izposoje. (Urok v Alpha Finance je podoben strategiji v Yearn Finance.)
Če želite sprožiti zapleten napad s hitrim posojilom, najprej napadalec ustvaril urok v Alpha Homora V2. Nato je napadalec zamenjal ETH za sUSD na Uniswap in sUSD položil na Iron Bank of Cream Finance. Za manipulacijo sUSD bazena si je napadalec sposodil 1.000e18 sUSD in zaobšel varnostni pregled deponiranje žeton likvidnostnega sklada UNI-WETH kot zavarovanje. Napadalec je v zameno dobil 1.000e18 delnic dolga sUSD. Za izvedbo teh korakov je napadalec uporabil prej omenjeno prvo in četrto vrzel.
Medtem ko je bil napadalec edini posojilojemalec v tem izkoriščanju Alpha Finance, je napačno izračun zaokroževanja pri izposoji izkoristil z odplačevanje delež sUSD za manj kot skupni znesek izposoje. Takrat napadalec izvršena funkcija resolReserve na banki sUSD, kar je povzročilo natečeni dolg v višini 19.709 milijard USD, saj je skupni delež dolga ostal ena.
Napadalec je zgornje postopke ponovil 26-krat in vsakič podvojil izposojeni znesek. Ker je bilo vsako zadolževanje za eno manjše od celotne vrednosti dolga, je to privedlo do ustreznega deleža zadolževanja v nič in protokol ni mogel prepoznati zadolževanja. Nato je napadalec od Aave dobil hitra posojila in opral sredstva v Curveu.
Odziv Alpha Finance
Glede na čas pisanja, napadalec potekala 10.925 ETH na naslovu denarnice. Medtem ko napadalec ima deponirano več kot 10 milijonov dolarjev stabilnih kovancev pod merilnikom Curve so razvijalcem Alpha Homora V2 in Cream V2 vrnili 1000 ETH. Majhen del ukradenega ETH je bil poslan podjetjem Tornado in Gitcoin Grant. Skupina Alpha je ocenila, da je skupna izguba sklada 38 milijonov dolarjev.
Skupina Alpha je poudarila, da je bilo posojilo pri napadalcih dolg med platformama Alpha Homora V2 in Cream V2, kar pomeni, da sredstva uporabnikov niso bila vpletena v ta incident. Skupina Alpha Finance je za zaustavitev podviga izvedla naslednje takojšnje ukrepe:
- Odstranila je funkcijo sUSD za izposojo in odplačevanje ter uporabnikom preprečila odpiranje novih pozicij z vzvodom.
- Zagotovil je, da so se lahko izvajale samo uroke z bele liste.
- Zagotovil je, da je lahko le guverner izvršil "reševanjeRezerviraj" funkcijo.
- Vzpostavila je stik z različnimi stranmi, da je naslov napadalca uvrstila na črni seznam.
Medtem ko se ponudniki likvidnosti ne morejo zadolževati v Alpha, lahko še vedno dodajo zavarovanje, odplačajo dolg, zaprejo pozicije in pobirajo gojene žetone. Posojilodajalci v Alpha Finance pa lahko posojajo in dvigujejo sredstva, kot običajno.
Da bi ublažili negativni vpliv na uporabnike Alpha Finance, skupina sodeluje z ustanoviteljem Yearn Finance Andrejem Cronjejem in ekipo Cream Finance za reševanje dolga.
Kot srednjeročna do dolgoročna rešitev je skupina Alpha Finance še naprej iskala zunanje revizorje in zaupanja vredne razvijalce za pregled njihovih pametnih pogodb. Skupina razmišlja tudi o uvedbi novih in kreativnih programov za nagrajevanje napak za druge protokole DeFi.
OKEx Insights predstavlja tržne analize, poglobljene funkcije in kurirane novice kripto strokovnjakov.
