DeFi Digest от OKEx Insights – это еженедельный обзор индустрии децентрализованных финансов..
Contents
Снимок рынка DeFi
Рынок децентрализованного финансирования на этой неделе упал, поскольку общая стоимость продуктов DeFi упала с 11,1 млрд долларов до 10,1 млрд долларов..
Uniswap сохранил свои позиции лидера рынка с 22% долей рынка от общей заблокированной стоимости в долларах США. Децентрализованная биржа также имела самый большой пул ликвидности и увеличила доминирование в объеме торгов с 54% до 62%..
В сфере децентрализованного кредитования Compound продолжала доминировать с долей рынка 49%. На втором месте Aave с долей рынка 37%..
Некоторые ключевые показатели в мире DeFi на этой неделе снизились. Источники: DeFi Pulse и DeBank
Токены DeFi плавают в красном море
Это была относительно статичная неделя с точки зрения основных событий DeFi. Интерес покупателей к токенам DeFi пошел на убыль, что привело к распродаже большинства проектов. В результате более широкий рынок DeFi был наводнен красным морем, поскольку некоторые токены резко упали в цене..
Большинство токенов DeFi на этой неделе понесли убытки, некоторые из которых были хуже, чем другие. Источник: Монета360
DFI.money – крупнейший проигравший, потерявший 52% в стоимости. Ведущие автоматизированные маркет-мейкеры также пострадали от распродажи на этой неделе – Curve (CRV), SushiSwap (SUSHI) и Uniswap (UNI) понесли еженедельные убытки примерно в 45%, 44% и 26% соответственно..
Фермеры UniCats, выращивающие урожай
UniCats, протокол DeFi для выращивания урожая, похожий на SushiSwap или YAM finance, на этой неделе привлек внимание сообщества DeFi, поскольку пользователи потеряли остатки токенов в результате вредоносных смарт-контрактов..
Как сообщил исследователь ZenGo Алекс Манускин, анонимный пользователь, дублированный "Джон Доу," потерял Токены управления UNI стоимостью 140 000 долларов, когда они участвовали в выращивании урожая UniCats. Данные Etherscan показывают, что проверяемый пользователь потерял почти 26,757 UNI и 10,703 UNI в двух сделках 4 октября.
Анонимный пользователь Twitter "Джон Доу" потеряли более 37 000 UNI в двух сделках. Источник: Etherscan
Распространенная и опасная лазейка в DeFi
Инцидент с UniCats еще раз выявил распространенную и опасную практику в сфере DeFi, а именно, что операторы протокола могут запрашивать разрешение на вывод неограниченного количества токенов из кошельков клиентов. Эту практику может выполнить UniCats. "setGovernance" функция, которая позволяет платформе иметь полный контроль над активами пользователей – даже после того, как пользователи забрали свои активы из UniCats.
В случае "Джон Доу," пользователь сначала поместил UNI в UniCats, чтобы участвовать в выращивании урожая. Подобно сообщению об одобрении других протоколов DeFi для выращивания урожая, они одобрили сообщение в MetaMask для выполнения депозита UNI. Однако пользователь не знал, что сообщение об одобрении позволяет UniCats снимать свои токены в любое время..
Сообщение об одобрении в MetaMask позволяет DApps тратить токены пользователей. Источник: Алекс Манускин в Twitter
По словам Манускина, UniCats использует средства пользователей, сначала создавая новый смарт-контракт и передавая право собственности на ферму новому контракту. Когда пользователь вносит средства в смарт-контракт, UniCats может вывести UNI и обменять их на эфир в Uniswap. После обмена средств в Uniswap, ETH будет переведен на адрес UniCats. Чтобы скрыть следы украденных средств, команда UniCats перемещала и смешивала массовые транзакции на 100 ETH с другими средствами через Tornado.cash..
UniCats – не первый протокол DeFi, который страдает лазейкой в смарт-контракте, разрешающей бесконечное снятие средств. Bancor Network, сетевой протокол ликвидности, идентифицированный аналогичная лазейка 17 июня, которая позволяет хакерам красть средства у пользователей, которые взаимодействовали с смарт-контрактом Bancor. Когда команда Bancor признала уязвимость, она решил атаковать контракт до того, как злоумышленники смогут истощить средства пользователей.
Лазейки и ограничения токена ERC-20
Бреши в смарт-контрактах, разрешающие неограниченное снятие средств, проистекают из ограничений ERC-20. Смарт-контракты, основанные на стандарте ERC-20, такие как Bancor и UniCats, не могут определить, перевел ли пользователь средства на контракт. Контракт требует предварительного утверждения для перевода или снятия средств от имени пользователя. Утверждение обычно устанавливается как бесконечное снятие, что сокращает плату за газ и сроки утверждения отзыва..
Альтернативные стандарты токенов попытались устранить эту лазейку. Например, стандарт ERC-223 устраняет необходимость утверждать снятие средств. Тем не менее, принятие стандарта ERC-223 затруднено. ограничено из-за чрезмерного использования газа и трения, возникающего при переносе данных из ERC-20 в стандарт ERC-223.
В комментарии OKEx Insights Манускин считает, что для урожайных фермеров безопаснее всего инвестировать только в хорошо зарекомендовавшие себя и проверенные протоколы DeFi. Он объяснил:
"Взаимодействие с фермами зависит от того, на какой риск вы готовы пойти. Всегда есть безопасный путь использования только хорошо установленных и проверенных контрактов. Это не гарантия отсутствия проблем с безопасностью, но это намного лучше, чем ничего. Некоторые пользователи могут захотеть перейти в новые проекты, у которых может не быть времени на официальный аудит. Естественно, это более рискованно. [Но] если проект имеет реальную ценность, члены сообщества могут сами прочитать контракт и провести неформальный аудит.."
Кроме того, Манускин считает, что пользователи должны обращать внимание на контракты, которые могут быть обновлены, поскольку они представляют собой особенно опасную ситуацию. Он отметил:
"На что следует обратить внимание – это контракты, которые можно обновлять. Это распространенный шаблон проектирования, но если есть один владелец, который может выполнить обновление, вы доверяете ему не злоупотреблять своей властью. Они могут обновить контракт до злонамеренного, даже если сначала он будет полностью безопасным.."
Будьте рациональным фермером
Случай "Джон Доу" а UniCats – это просто снимок текущего состояния выращивания урожая, когда пользователи готовы использовать незнакомые или не прошедшие аудит протоколы DeFi, чтобы максимизировать свою доходность. Это также можно увидеть в недавнем инциденте с безопасностью Eminence Finance. Незавершенный протокол DeFi от основателя yield.finance Андре Кронье, Eminence пострадал от взлома на 15 миллионов долларов – правда, половина средств была возвращена. Хотя Кронье утверждал, что протокол Eminence находится на стадии тестирования, некоторые фермеры все еще выращивают урожай. налил свои средства в протокол, не понимая, как это работает.
В связи с тем, что ажиотаж вокруг урожайного земледелия начинает утихать, недавние случаи с UniCats и Eminence могут дать фермерам хороший повод остановиться и найти время для рациональных инвестиций. Cronje также дал аналогичный совет урожайным фермерам, когда он умолял, "Если вы этого не понимаете, пожалуйста, не используйте это."
OKEx Insights представляет анализ рынка, подробные характеристики, оригинальные исследования & кураторские новости от профессионалов криптографии.
