Útok bleskovej pôžičky ValueDeFi odhaľuje kritický nedostatok náležitej starostlivosti v DeFi

DeFi Digest spoločnosti OKEx Insights je týždenné preskúmanie decentralizovaného finančného priemyslu.

Momentka z trhu DeFi

Trh s decentralizovaným financovaním si tento týždeň udržal svoju vzrastajúcu dynamiku, pretože celková hodnota uzamknutá v produktoch DeFi mierne vzrástla z 13,65 miliárd dolárov na 13,80 miliárd dolárov. 

Trh s decentralizovanými pôžičkami tento týždeň vzrástol o 8%, pretože celkový objem pôžičiek dosiahol 3,09 miliardy dolárov. Spoločnosť Maker, ktorá profitovala z tohto rastu, nahradila spoločnosť Uniswap ako vedúceho spoločnosti DeFi s úrovňou dominancie na trhu 17%. Spoločnosť Compound si medzitým udržala svoju dominanciu na trhu v oblasti poskytovania úverov s 55% podielom.

Priemerný týždenný objem obchodov decentralizovaných búrz stúpol o 20% a tento týždeň dosiahol 0,53 miliardy dolárov. Zatiaľ čo si Uniswap udržal dominanciu objemu obchodovania na úrovni 37%, pozíciu najväčšej skupiny likvidity nahradil jej hlavný konkurent, SushiSwap..

Týždenný objem obchodov DEX vzrástol o 20%. Zdroj: DeFi Pulse a DeBank

Útoky bleskových pôžičiek sa pre DeFi ukazujú ako problematické

Útoky z flash pôžičiek sa stali pre komunitu DeFi bolesťou, pretože agregátor výnosov ValueDeFi sa stal piatou obeťou len za tri týždne. Po strate spoločnosti Harvest Finance vo výške 34 miliónov dolárov došlo k zneužitiu okamžitých pôžičiek spoločnosti Akropolis, Origin Protocol a Cheese Bank so stratou 2 milióny dolárov, 7 miliónov dolárov a 3,3 milióna dolárov, resp.

Spoločnosť ValueDeFi 14. novembra trpela zneužitím flash pôžičky. Podľa Emiliana Bonassiho, hackera s bielym klobúkom, ktorý sám popisuje, bolo zneužitie flash výpožičky na protokole ValueDeFi viac komplexné ako predchádzajúce útoky, pretože boli použité dve rýchle pôžičky. Hackeri vyradili a blesková pôžička vo výške 80 000 ETH – v hodnote viac ako 36 miliónov dolárov – a blesková pôžička vo výške 116 miliónov dolárov v DAI od spoločnosti Uniswap na využitie protokolu ValueDeFi, čo malo za následok čistú stratu vo výške 6 miliónov dolárov. 

Podrobné kroky útoku boli ilustrované na Bonassiho účte na Twitteri:

Hackeri využili dve bleskové pôžičky na Aave a Uniswap na využitie protokolu ValueDeFi. Zdroj: Twitter / @emilianobonassi

Podľa an analýza vykonaná audítorskou spoločnosťou PeckShield, hlavnou príčinou zneužitia protokolu ValueDeFi bola jeho chyba "MultiStablesVaults," ktorá používa Curve na meranie ceny majetku. Kvôli tejto chybe mohli hackeri pomocou flash pôžičiek manipulovať s cenou 3crv tokenov. Potom mohli spáliť vyťažené tokeny z fondu a vykúpiť tak neprimeraný podiel 33,08 milióna tokenov 3crv namiesto bežných 24,95 milióna. Hackeri potom vykúpili tokeny 3crv pre DAI, čo viedlo k strate DAI vo výške 7,4 milióna dolárov. (Hackeri však vrátili 2 milióny dolárov hlavným vývojárom spoločnosti ValueDeFi.)

Opravné akcie spoločnosti ValueDeFi

Tím ValueDeFi zverejnil a postmortálna analýza , ktorý načrtáva okamžité nápravné opatrenia a strednodobé plány na zabránenie takýmto útokom na pôžičky.

Ako prvý krok boli vklady v trezore MultiStables zastavené. Na výpočet presnej výšky kompenzácie tím pred útokom urobil snímky stavu každého používateľa. Tím tiež plánuje vydať druhú verziu trezoru MultiStables. Pred vydaním bude druhý trezor skontrolovaný verejnými audítormi a verejnými vývojármi Solidity.

V porovnaní s prvou verziou trezoru druhá verzia používa informačné kanály cien Chainlink na zvýšenie kvality dát, zabezpečenie bezpečnosti Oracle a dodanie presných cien aktív. Použitie cenových reťazcov znižuje vystavenie dočasným cenovým skresleniam vyvolaným bleskovým úverom, keď protokol ValueDeFi extrahuje údaje z reťazcov likvidity reťazca Curve alebo z iných cenových zdrojov generovaných reťazcom. Navyše, keďže cenové kanály Chainlink sa neaktualizujú súčasne pri viacerých transakciách, flash pôžičky nie sú schopné manipulovať s cenou – pretože existujú iba v rámci jednej transakcie.

Tím vytvorí kompenzačný fond založený na fondoch vývojárov, poistnom fonde a časti poplatkov vybraných protokolom. S cieľom kompenzovať používateľom nedostatok prístupu k ich kapitálu vytvoril tím tokeny IOU, ktoré zastupujú finančné prostriedky, ktoré sa používateľom nevrátili. Tokeny IOU majú zabudovanú infláciu, ktorá každý týždeň automaticky nazhromaždí 10% ročný percentuálny výnos.

Tím tiež pokračoval v hľadaní riešenia s hackermi. Napríklad to navrhované distribúciu 1 milión DAI ako odmenu a požadoval, aby hackeri vrátili zvyšné prostriedky postihnutým používateľom. Hackeri na túto žiadosť zatiaľ nereagovali.

Bolestivé lekcie

Nedávne exploity využívajúce výpožičky na protokoly DeFi opäť odhalili nepochopenie mechaniky DeFi u niektorých účastníkov trhu. Vo využívaní protokolu ValueDeFi sám popísal zdravotná sestra a sám opísaný 19-ročný mladík študent stratil 100 000 dolárov, respektíve 200 000 dolárov. Zatiaľ čo hackeri vrátili sestre a študentovi 50 000 DAI a 45 000 DAI, varovali používateľov pred rizikami spojenými s ich nedostatkom vedomostí a opatrnosťou.

Hackeri využívajúci protokol ValueDeFi varovali používateľov pred rizikami investovania do protokolov farmárskeho výnosu. Zdroj: Etherscan

Vyššie uvedené príklady ilustrujú, ako niektorí účastníci DeFi berú do úvahy iba súčasné výnosy z protokolov o obhospodarovaní výnosov bez toho, aby si uvedomovali riziká spojené s inteligentnými zmluvami. Dokonca aj tím ValueDeFi zopakoval, že pri investovaní do protokolov DeFi vždy existuje určitý prvok rizika.

S čoraz zložitejším zavádzaním nových protokolov DeFi sa riziká investícií do týchto protokolov pravdepodobne iba zvýšia.

OKEx Insights predstavuje analýzy trhu, podrobné funkcie, originálny výskum & vybrané správy od krypto profesionálov.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map