Trh DeFi presahuje 40 miliárd dolárov, pretože Alpha Finance utrpel najhorší útok na flash pôžičky v histórii
DeFi Digest spoločnosti OKEx Insights je týždenné preskúmanie decentralizovaného finančného priemyslu.
Decentralizovaný finančný trh opäť dosiahol nové maximá v pozadí BTC a dosiahol medzník 50 000 dolárov na globálnych burzách. Celková hodnota uzamknutá v produktoch DeFi najskôr 12. februára presiahla 40 miliárd dolárov a zaznamenala týždenný zisk 8%.
Pokračujúci rast na trhu DeFi sa prejavil v úverovej sfére, kde celkový objem úverov stúpol o 13% na 7,23 miliárd dolárov. Zlúčenina dominovala na trhu s pôžičkami s 55% podielom.
Priemerný týždenný objem obchodov decentralizovaných búrz v čase písania tohto článku mierne poklesol na 2,28 miliárd dolárov. Uniswap – ktoré nedávno spracované kumulatívny objem viac ako 100 miliárd dolárov – naďalej vedie DEX s 38% podielom na trhu. Aave nahradil SushiSwap ako najväčší fond likvidity tento týždeň, pričom jeho celková hodnota bola uzamknutá vo výške 1,52 miliárd dolárov.
Kategória | Kľúčové štatistiky | Množstvo | Týždenná% zmena |
Celkovo | Celková hodnota uzamknutá (USD) | 39,94 miliárd dolárov | 8% |
Dominancia trhu (%) | Tvorca (16%) | ||
Požičiavanie | Celková výpožička zv. | 7,23 miliárd dolárov | 13% |
Dominancia trhu (%) | Zlúčenina (55%) | ||
DEX | Priem. Týžden. obchodovanie zv. | 2,28 miliárd dolárov | -6% |
Dominancia trhu (%) | Uniswap (38%) | ||
Úroda poľnohospodárstva | Najväčšia skupina likvidity | Aave (1,52 miliárd dolárov) |
Tento týždeň sa zvýšila celková uzamknutá hodnota aj objem pôžičiek týždenné objemy obchodovania DEX klesla o 6%. Zdroj: DeFi Pulse a DeBank
Najväčší útok na pôžičku DeFi
Zatiaľ čo účastníci trhu DeFi dostali tento týždeň medializáciu ohľadom míľnika TVL vo výške 40 miliárd dolárov, Alpha Finance utrpela bleskový úverový útok, ktorý viedol k približnej strate 38 miliónov dolárov. To prekonalo hack spoločnosti Harvest Finance vo výške 34 miliónov dolárov a stalo sa najväčším útokom na flash pôžičky v relatívne krátkej histórii DeFi.
Najskôr tím Alpha Finance vyhlásil útok na bleskovú výpožičku 13. februára. Tím vydal a post mortem nasledujúci deň, aby ste sa podelili o podrobnosti využitia Alpha Homora V2.
Posmrtná smrť uviedla, že útočník zahájil komplexné vykorisťovanie zahŕňajúce viac ako deväť transakcií, ktoré bolo zhrnuté do 13 krokov. Tím tiež uviedol nasledujúce medzery v inteligentnej zmluve Alpha Homora V2, ktorá umožnila zneužitie:
- HomoraBankv2 mal fond sUSD, ktorý sa pripravoval a nebol verejne zverejnený. Fond sUSD nemal likviditu a útočník mohol nafúknuť celkovú výšku dlhu aj celkový podiel dlhu.
- Funkcia resolveReserve by mohla zvýšiť celkový dlh bez zvýšenia celkového podielu dlhu. Túto funkciu môže vykonávať ktorýkoľvek užívateľ.
- Vo výpočte výpožičnej funkcie došlo k zaokrúhleniu nesprávneho výpočtu. Toto sa dalo uplatniť, iba ak bol útočník jediným dlžníkom.
- HomoraBankv2 prijal akékoľvek prispôsobené kúzlo od používateľov, pretože množstvo kolaterálu je väčšie ako suma požičaná. (Kúzlo v Alpha Finance je podobné stratégii v Yearn Finance.)
Ak chcete zahájiť komplexný útok na výpožičku, útočník najskôr vytvoril kúzlo v Alpha Homora V2. Útočník potom na Uniswap vymenil ETH za sUSD a sUSD uložil do Železnej banky krémových financií. Na manipuláciu s fondom sUSD si útočník požičal 1 000e18 sUSD a obišiel bezpečnostnú kontrolu o vklad token združenej likvidity UNI-WETH ako kolaterál. Útočník získal na oplátku 1 000e18 dlhových akcií sUSD. Útočník na vykonanie týchto krokov využil prvú a štvrtú medzeru uvedenú vyššie.
Zatiaľ čo útočník bol jediným dlžníkom v tomto využívaní financovania Alpha Finance, využili zaokrúhlenie nesprávneho výpočtu vo funkcii požičania pomocou splácanie podiel sUSD o jednu menšiu ako je celková požičaná suma. Útočník teda vykonaný funkcia ResolutionReserve v banke sUSD, ktorá viedla k akumulovanému dlhu vo výške 19 709 miliárd sUSD, pretože celkový podiel dlhu zostal jeden.
Útočník vyššie uvedené postupy zopakoval 26-krát a požičanú sumu zakaždým zdvojnásobil. Pretože každá pôžička bola o jednu menšia ako celková hodnota dlhu, viedlo to k zodpovedajúcemu nulovému podielu pôžičky a protokol nemohol výpožičku rozpoznať. Útočník potom získal bleskové pôžičky od Aaveho a vypral prostriedky v Curve.
Reakcia spoločnosti Alpha Finance
V čase písania tohto článku útočník držané 10 925 ETH v adrese ich peňaženky. Zatiaľ čo útočník má uložené viac ako 10 miliónov dolárov v hodnote stablecoinov podľa ukazovateľa Curve vrátili 1 000 ETH vývojárom Alpha Homora V2 a Cream V2. Malá časť ukradnutého ETH bola odoslaná Tornádu a Gitcoin Grantu. Tím Alpha odhadol celkovú stratu fondu na 38 miliónov dolárov.
Tím Alpha zdôraznil, že výpožičky od útočníkov predstavovali dlh medzi platformami Alpha Homora V2 a Cream V2, čo znamená, že finančné prostriedky používateľov neboli do tohto incidentu zapojené. Tím spoločnosti Alpha Finance prijal nasledujúce okamžité opatrenia na zastavenie zneužitia:
- Odstránila funkčnosť pôžičky a splácania systému sUSD a zabránila používateľom otvárať nové pozície využívajúce pákový efekt.
- Zabezpečilo, že bolo možné vykonať iba kúzla na bielom zozname.
- Zabezpečilo, že iba guvernér mohol popraviť "resolveReserve" funkcia.
- Kontaktovala rôzne strany, aby čiernu listinu uviedli na adresu útočníka.
Aj keď si poskytovatelia likvidity nemôžu v Alphe požičiavať, môžu stále pridávať kolaterál, splácať dlh, uzatvárať pozície a zbierať svoje farmové tokeny. Na druhej strane poskytovatelia pôžičiek v spoločnosti Alpha Finance môžu ako obvykle požičiavať a vyberať aktíva.
Na zmiernenie negatívneho dopadu, ktorý prináša používateľom Alpha Finance, sa tím spojil so zakladateľom Yearn Finance Andre Cronje a tímom Cream Finance s cieľom vyriešiť dlh.
Ako stredne až dlhodobé riešenie pokračoval tím Alpha Finance v hľadaní externých audítorov a dôveryhodných vývojárov, aby skontrolovali ich inteligentné zmluvy. Tím tiež zvažuje spustenie nových a kreatívnych bug bounty programov pre ďalšie protokoly DeFi, ktoré by mali nasledovať.
OKEx Insights predstavuje analýzy trhu, podrobné funkcie a vybrané správy od krypto profesionálov.