DeFi Digest spoločnosti OKEx Insights je týždenné preskúmanie decentralizovaného finančného priemyslu.
Contents
Momentka z trhu DeFi
Decentralizovaný finančný trh sa tento týždeň prepadol, pretože celková hodnota zamknutá v produktoch DeFi klesla z 11,1 miliárd dolárov na 10,1 miliárd dolárov.
Uniswap si udržal pozíciu lídra na trhu s 22% podielom na trhu z celkovej hodnoty USD. Decentralizovaná burza mala tiež najväčší pool likvidity a rozšírila svoju dominanciu v objeme obchodovania z 54% na 62%.
V sfére decentralizovaných úverov naďalej dominovala spoločnosť Compound s trhovým podielom 49%. Spoločnosť Aave bola na druhom mieste s 37% podielom na trhu.
Niektoré kľúčové metriky vo svete DeFi zaznamenali tento týždeň pokles. Zdroje: DeFi Pulse a DeBank
Žetóny DeFi plávajúce v červenom mori
Bol to relatívne statický týždeň z hľadiska významného vývoja DeFi. Nákup úrokov za tokeny DeFi klesol, čo viedlo k výpredajom väčšiny projektov. Výsledkom bolo, že širší trh DeFi bol zaplavený rudým morom, pretože niektoré tokeny zaznamenali dramatický pokles cien.
Väčšina tokenov DeFi zaznamenala tento týždeň straty, niektoré boli horšie ako iné. Zdroj: Coin360
DFI.money je najhorší porazený so stratou hodnoty 52%. Vedúci automatizovaní tvorcovia trhu boli tiež medzi najviac zasiahnutými v rámci tohtotýždňového výpredaja – spoločnosti Curve (CRV), SushiSwap (SUSHI) a Uniswap (UNI) zaznamenali týždenné straty približne 45%, 44% a 26%.
UniCats poľavila poľnohospodárom s výnosmi
UniCats, výnosový protokol DeFi podobný SushiSwap alebo YAM finance, tento týždeň upriamil pozornosť komunity DeFi, keď používatelia prišli o zostatky tokenov ako priamy dôsledok škodlivých inteligentných zmlúv.
Ako odhalil výskumník ZenGo Alex Manuskin, anonymný používateľ, dabovaný "Jhon Doe," stratený Tokeny riadenia UNI v hodnote 140 000 dolárov, keď sa podieľali na výnose poľnohospodárstva UniCats. Údaje z Etherscanu ukazujú, že skúmaný používateľ takmer stratil 26 757 UNI a 10 703 UNI v dvoch transakciách 4. októbra.
Anonymný používateľ služby Twitter "Jhon Doe" stratil viac ako 37 000 UNI v dvoch transakciách. Zdroj: Etherscan
Bežná a nebezpečná medzera v DeFi
Incident spoločnosti UniCats opäť odhalil bežný a nebezpečný postup v sfére DeFi – konkrétne to, že prevádzkovatelia protokolov môžu požiadať o povolenie na stiahnutie neobmedzeného množstva tokenov z peňaženiek zákazníkov. Túto prax môže vykonať UniCats ‘ "nastaviťVláda" funkcia, ktorá umožňuje platforme úplnú kontrolu nad aktívami používateľov – a to aj potom, čo používatelia vybrali svoje aktíva z UniCats.
V prípade "Jhon Doe," používateľ najskôr vložil UNI do UniCats, aby sa mohol podieľať na výnose. Podobne ako v prípade schvaľovacej správy iných protokolov DeFi, ktoré sa zaoberajú výnosom, schválili v MetaMasku správu o vykonaní vkladu UNI. Používateľ si však nebol vedomý, že správa o schválení umožňuje spoločnosti UniCats kedykoľvek vybrať svoje tokeny.
Schvaľovacia správa v MetaMask umožňuje DApps utrácať tokeny používateľov. Zdroj: Alex Manuskin na Twitteri
Podľa Manuskina UniCats využíva finančné prostriedky používateľov najskôr vytvorením novej inteligentnej zmluvy a prechodom vlastníctva farmy na novú zmluvu. Keď používateľ vloží prostriedky do inteligentnej zmluvy, môže UniCats vybrať UNI a vymeniť ich za Ether v Uniswap. Po výmene finančných prostriedkov v Uniswap sa ETH prevedie na adresu UniCats. Na pokrytie strát ukradnutých prostriedkov presunul tím UniCats a zmiešal hromadné transakcie vo výške 100 ETH s ostatnými fondmi prostredníctvom služby Tornado.cash..
UniCats nie je prvým protokolom DeFi, ktorý trpí medzerou v inteligentnom kontrakte, ktorá umožňuje nekonečné výbery. Bancor Network, on-chain likviditný protokol, identifikované podobná medzera 17. júna, ktorá umožňuje hackerom ukradnúť prostriedky používateľom, ktorí interagovali s inteligentnou zmluvou spoločnosti Bancor. Keď tím Bancor túto zraniteľnosť uznal, bolo to rozhodol na biely klobúk zaútočiť na zmluvu skôr, ako by mohli zlomyseľní aktéri vyčerpať prostriedky používateľov.
Medzery a obmedzenia tokenov ERC-20
Chytré medzery v zmluvách, ktoré povoľujú nekonečné výbery, vychádzajú z obmedzení ERC-20. Inteligentné zmluvy založené na štandarde ERC-20, ako sú Bancor a UniCats, nedokážu zistiť, či používateľ previedol finančné prostriedky do zmluvy. Zmluva vyžaduje vopred nastavený súhlas s prevodom alebo výberom finančných prostriedkov v mene používateľa. Schválenie bolo zvyčajne nastavené ako nekonečný výber, čo zmiernilo poplatky za plyn a časy schválenia výberu.
Túto medzeru sa pokúsili vyriešiť alternatívne štandardy týkajúce sa tokenov. Napríklad štandard ERC-223 odstraňuje potrebu schvaľovať výbery. Prijatie normy ERC-223 však je obmedzený v dôsledku nadmerného používania plynu a trenia vznikajúceho pri migrácii údajov z ERC-20 na štandard ERC-223.
V komentári k OKEx Insights sa Manuskin domnieva, že pre poľnohospodárov s výnosmi je najbezpečnejšie investovať iba do dobre zavedených a auditovaných protokolov DeFi. Vysvetlil:
"Interakcia s farmami závisí od toho, aké veľké riziko ste ochotní podstúpiť. Vždy existuje bezpečná cesta, ako použiť iba dobre zavedené a kontrolované zmluvy. Nie je to záruka žiadnych bezpečnostných problémov, ale je to oveľa lepšie ako nič. Niektorí používatelia by sa možno mali chcieť degenovať v nových projektoch, ktoré by nemali čas podstúpiť oficiálny audit. Je to samozrejme riskantnejšie. [Ale] ak má projekt skutočnú hodnotu, môžu si samotní členovia komunity prečítať zmluvu a vykonať neformálny audit."
Ďalej sa Manuskin domnieva, že používatelia by mali venovať pozornosť zmluvám, ktoré je možné upgradovať, pretože predstavujú obzvlášť nebezpečnú situáciu. Poznamenal:
"Je treba dávať pozor na zmluvy, ktoré je možné upgradovať. Toto je bežný návrhový vzor, ale ak existuje jediný vlastník, ktorý môže vykonať aktualizáciu, veríte mu, že nezneužije svoju moc. Môžu upgradovať zmluvu na škodlivú, aj keď je spočiatku úplne bezpečná."
Buďte farmárom s racionálnym výnosom
Prípad "Jhon Doe" a UniCats je iba snímkou súčasného stavu hospodárenia s úrodou, kde sú používatelia ochotní uzavrieť neznáme alebo neauditované protokoly DeFi s cieľom maximalizovať svoje výnosy. Vidno to aj na nedávnom bezpečnostnom incidente spoločnosti Eminence Finance. Nedokončený protokol DeFi od zakladateľa výnosu. Finance Andre Cronje, Eminence trpel z hacknutia 15 miliónov dolárov – polovica prostriedkov sa však vrátila. Zatiaľ čo Cronje tvrdil, že protokol Eminence bol v štádiu testovania, niektorí poľnohospodári s výnosmi stále zostávajú nalial svoje prostriedky do protokolu bez toho, aby pochopili, ako to funguje.
Keď humbuk okolo obhospodarovania výnosov začal utíchať, nedávne prípady UniCats a Eminence môžu byť dobrým dôvodom pre farmárov, ktorí sa výnosmi pozastavia a nechajú si čas na racionálne investovanie. Cronje tiež dal podobné rady, ako výnos poľnohospodárom, keď prosil, "Ak tomu nerozumiete, prosím nepoužívajte to."
OKEx Insights predstavuje analýzy trhu, podrobné funkcie, originálny výskum & vybrané správy od krypto profesionálov.
