Атака на мгновенное кредитование ValueDeFi демонстрирует критическое отсутствие должной осмотрительности в DeFi

DeFi Digest от OKEx Insights – это еженедельный обзор индустрии децентрализованных финансов..

Снимок рынка DeFi

На этой неделе рынок децентрализованного финансирования сохранил бычий импульс, поскольку общая стоимость продуктов DeFi немного выросла с 13,65 млрд долларов до 13,80 млрд долларов.. 

Рынок децентрализованного кредитования на этой неделе вырос на 8%, а общий объем заимствований достиг 3,09 миллиарда долларов. Получив выгоду от роста, Maker заменил Uniswap в качестве общего лидера DeFi с уровнем доминирования на рынке 17%. Между тем Compound сохранила доминирующее положение на рынке кредитования с долей 55%..

Средненедельный объем торгов на децентрализованных биржах вырос на 20% и на этой неделе достиг 0,53 миллиарда долларов. В то время как Uniswap сохранил доминирующее положение в объеме торгов на уровне 37%, его позиция как обладателя крупнейшего пула ликвидности была заменена его основным конкурентом, SushiSwap..

Еженедельный объем торгов на DEX вырос на 20%. Источник: DeFi Pulse и DeBank

Атаки с использованием флэш-кредитов оказались проблематичными для DeFi

Атаки с использованием флэш-кредитов стали головной болью сообщества DeFi, поскольку агрегатор доходности ValueDeFi стал пятой жертвой всего за три недели. После убытка в размере 34 миллионов долларов от Harvest Finance были совершены операции по быстрому кредитованию Akropolis, Origin Protocol и Cheese Bank с потерей 2 миллиона долларов, 7 миллионов долларов и 3,3 миллиона долларов, соответственно.

14 ноября ValueDeFi пострадал от взлома флэш-кредита на 6 миллионов долларов. По словам Эмилиано Бонасси, самопровозглашенного хакера в белой шляпе, эксплойт флэш-кредита в протоколе ValueDeFi был более сложный по сравнению с предыдущими атаками, поскольку было использовано два мгновенных кредита. Хакеры взяли флэш-кредит 80 000 ETH – на сумму более 36 миллионов долларов – и флэш-кредит в размере 116 миллионов долларов в DAI от Uniswap для использования протокола ValueDeFi, что привело к чистому убытку в размере 6 миллионов долларов.. 

Подробные шаги для атаки были проиллюстрированы в аккаунте Бонасси в Твиттере:

Хакеры использовали два флэш-кредита на Aave и Uniswap для эксплуатации протокола ValueDeFi. Источник: Twitter / @emilianobonassi

Согласно анализ проведенного аудиторской фирмой PeckShield, основной причиной эксплойта протокола ValueDeFi была ошибка в его "MultiStablesVaults," который использует Curve для измерения цены актива. Из-за ошибки хакеры могли использовать флэш-кредиты для манипулирования ценой на токены 3crv. После этого они могли сжечь отчеканенные токены из пула, чтобы выкупить непропорциональную долю в 33,08 миллиона токенов 3crv вместо обычных 24,95 миллиона. Затем хакеры выкупили токены 3crv за DAI, что привело к потере DAI в размере 7,4 миллиона долларов. (Однако хакеры вернули 2 миллиона долларов основным разработчикам ValueDeFi.)

Лечебные действия ValueDeFi

Команда ValueDeFi опубликовала посмертный анализ в котором излагаются немедленные меры и среднесрочные планы по предотвращению атак с использованием флэш-кредитов..

В качестве первого шага депозиты в хранилище MultiStables были остановлены. Чтобы рассчитать точную сумму компенсации, команда сделала снимки баланса каждого пользователя перед атакой. Команда также планирует выпустить вторую версию хранилища MultiStables. Перед выпуском второе хранилище будет проверено общественными аудиторами и разработчиками общедоступной Solidity..

По сравнению с первой версией хранилища, вторая версия использует потоки цен Chainlink для повышения качества данных, обеспечения безопасности Oracle и предоставления точных цен на активы. Использование оракулов цен снижает подверженность временным искажениям цен, вызванным мгновенными кредитами, когда протокол ValueDeFi извлекает данные из пулов ликвидности внутри сети Curve или других источников цен, генерируемых внутри сети. Кроме того, поскольку потоки цен Chainlink не обновляются одновременно по нескольким транзакциям, флэш-кредиты не имеют возможности манипулировать ценой, поскольку они существуют только в рамках одной транзакции..

Команда создаст компенсационный фонд на основе средств разработчика, страхового фонда и части сборов, взимаемых протоколом. Чтобы компенсировать пользователям отсутствие доступа к их капиталу, команда создала токены IOU для представления средств, которые не были возвращены пользователям. Токены долговых расписок имеют встроенную инфляцию, которая будет автоматически увеличивать годовую процентную доходность 10% каждую неделю..

Команда также продолжала искать решение с хакерами. Например, это предложил распространение 1 миллиона DAI в качестве награды и требование, чтобы хакеры вернули оставшиеся средства пострадавшим пользователям. Хакеры еще не ответили на этот запрос.

Болезненные уроки

Недавние эксплойты с использованием флэш-кредитов на протоколы DeFi еще раз выявили непонимание механики DeFi среди некоторых участников рынка. В эксплойте протокола ValueDeFi самоописанный медсестра и самопровозглашенный 19-летний ученик потеряли 100 000 и 200 000 долларов соответственно. Хотя хакеры вернули 50 000 DAI и 45 000 DAI медсестре и ученику, соответственно, они предупредили пользователей о рисках, связанных с их недостатком знаний и осторожностью..

Хакеры, использующие эксплойт протокола ValueDeFi, предупреждали пользователей о рисках инвестирования в протоколы выращивания урожая. Источник: Etherscan

Вышеупомянутые примеры иллюстрируют, как некоторые участники DeFi рассматривают только текущую прибыль от протоколов выращивания урожая, не осознавая риски, присущие смарт-контрактам. Даже команда ValueDeFi подтвердила, что при инвестировании в протоколы DeFi всегда присутствует элемент риска..

По мере того, как развертывание новых протоколов DeFi становится все более сложным, риски инвестирования в эти протоколы, вероятно, только возрастут..

OKEx Insights представляет анализ рынка, подробные характеристики, оригинальные исследования & кураторские новости от профессионалов криптографии.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map