Serangan pinjaman kilat menyebabkan kerugian $ 34 juta, tetapi dapatkah mereka dihentikan?

OKEx Insights ‘DeFi Digest adalah pemeriksaan mingguan industri kewangan yang terdesentralisasi.

Pasaran kewangan terdesentralisasi menyaksikan penurunan sedikit minggu lalu kerana jumlah nilai yang terkunci dalam produk DeFi turun dari $ 12.38 bilion menjadi $ 11.04 bilion. 

Uniswap mengekalkan kedudukannya sebagai peneraju pasaran dengan pangsa pasar 24% dari jumlah nilai USD terkunci. Pertukaran yang terdesentralisasi juga mempunyai kumpulan kecairan terbesar dan mengekalkan dominasi jumlah dagangannya sebanyak 65%. 

Didorong oleh peretasan Harvest Finance bernilai $ 34 juta, jumlah dagangan DEX mencapai $ 3.4 bilion pada 26 Oktober.

Dalam bidang pinjaman terdesentralisasi, Compound terus memimpin, dengan pangsa pasar 54%.

Nilai keseluruhan yang dikunci dalam DeFi menurun sementara jumlah DEX mingguan meletup, berikutan peretasan Harvest Finance. Sumber: Denyutan DeFi dan DeBank

Token KP3R Jaringan Keep3r menjadikan gembar-gembur DeFi tetap hidup

Walaupun sedikit penurunan nilai keseluruhan terkunci, gembar-gembur di pasar DeFi tetap hidup berikutan pelancaran token baru oleh Andre Cronje. Pengasas yearn.finance mengumumkan KP3R, tanda untuknya projek terkini – iaitu, Keep3r Network, pasaran terdesentralisasi untuk pekerjaan teknikal. 

Sama seperti projek sebelumnya, seperti eminence.finance, Cronje menekankan bahawa keep3r.network masih dalam tahap ujian beta. Walau bagaimanapun, para peserta pasaran teruja dengan protokol terbaru Cronje, dan KP3R meroket dari $ 25 hingga $ 350 di Uniswap dalam beberapa jam pelancaran. 

Serangan pinjaman kilat $ 34 juta Harvest Finance

Di sisi lain dari bidang DeFi, kerentanan keselamatan dalam protokol DeFi tetap menjadi perhatian setelah Harvest Finance kehilangan $ 34 juta.

Harvest Finance adalah platform hasil pertanian yang menyediakan perkhidmatan pengesanan, pengembangan strategi dan pemantauan kos gas APY untuk petani. Protokol itu kehilangan $ 34 juta dari serangan pinjaman pinjaman pada 26 Oktober, dan jumlah nilainya terkunci terjun lebih daripada 60%.

Apa itu pinjaman kilat?

Pinjaman kilat adalah inovasi kewangan terdesentralisasi yang dimulakan oleh protokol pinjaman DeFi Aave pada bulan Januari. Produk ini membolehkan pengguna meminjam pinjaman tanpa memberikan cagaran. Pinjaman kilat tidak melakukan pemeriksaan kredit ke atas peminjam. 

Pinjaman kilat telah mendapat populariti di kalangan para arbitrage, kerana mereka dapat melakukan langkah-langkah berikut untuk meraih keuntungan cepat:

  1. Pinjam pinjaman.
  2. Gunakan pinjaman untuk membeli token dengan harga yang lebih rendah pada satu DEX.
  3. Jual semula token yang sama dengan harga yang lebih tinggi pada DEX lain.
  4. Bayar balik pinjaman dan faedah.
  5. Simpan keuntungan.

Tindakan tersebut dilakukan dalam urus niaga dalam rantai yang sama. Untuk melakukan transaksi ini, arbitrageur perlu memasukkan semua langkah ke dalam kontrak pintar terlebih dahulu. Sekiranya peminjam tidak dapat membayar balik pinjaman tepat pada waktunya, tidak ada transaksi yang akan dilaksanakan. (Ini selaras dengan urus niaga atom on Ethereum – jika salah satu urus niaga yang dirantai gagal, rantaiannya terputus dan perjanjian yang dikodkan dalam kontrak pintar tidak dipenuhi. Oleh itu, urus niaga dalam kontrak pintar tidak akan dilaksanakan.)

Apa yang berlaku kepada Harvest Finance?

Walaupun pinjaman kilat memberikan sumber keuntungan baru dalam bidang kewangan yang terdesentralisasi, pelaku jahat berusaha menggunakan dana yang dipinjam untuk memanipulasi pasaran DeFi – yang dikenali sebagai serangan pinjaman pinjaman.

Dalam kes Harvest Finance, penggodam mengambil satu siri tindakan untuk keuntungan arbitraj dan memanipulasi pasaran DeFi:

  1. Peretas pertama kali memperoleh 50 juta USDC dan 18.3 juta USDT pinjaman kilat dari Uniswap.
  2. Peretas kemudian menukar 17.222 juta USDT menjadi USDC melalui Kolam Y, kumpulan kecairan di Curve Finance. Penukaran USDT-ke-USDC besar-besaran menaikkan harga USDC dan jumlah USDC yang ditukar menjadi hanya 17.216 juta.
  3. Peretas kemudian memasukkan 49.97 juta USDC ke peti besi USDC Harvest Finance dan menerima 51.46 juta fUSDC. Selepas deposit, harga USDC sesaham menurun sebanyak 1% (dari 0,98 hingga 0,971). Oleh kerana perubahan nilai tidak melebihi ambang 3%, urus niaga dilakukan dan tidak kembali.
  4. Peretas menukar semua fUSDC ke USDC dengan keuntungan 619K USDC. Kemudian, mereka mengulangi transaksi yang sama beberapa kali untuk memperoleh keuntungan yang cepat.
  5. Penggodam memindahkan 13 juta USDC dan 11 juta USDT ke alamat mereka. Kemudian, mereka memindahkan 1.76 juta USDC dan 718K USDT kembali kepada pasukan Harvest Finance.

Menurut pasukan Harvest Finance, harga saham peti besi USDC dan peti besi USDT masing-masing jatuh 13.8% dan 13.7% – bergabung dengan kerugian keseluruhan $ 34 juta. Pasukan menekankan bahawa penyerang memanfaatkan kesan kerugian tidak tetap di kolam Y di Curve. Penyerang kemudian memasukkan dana ke peti besi Harvest Finance dengan harga yang menguntungkan dan keluar dari peti besi pada harga saham biasa untuk memperoleh keuntungan. Untuk kerugian pengguna, pasukan Harvest Finance mengagihkan dana yang dikembalikan kepada mangsa dan melancarkan wang sebanyak $ 100K bagi mereka yang mungkin dapat membantu mengembalikan dana.

Sementara itu, Uniswap mencapai jumlah dagangan sepanjang masa $ 2.19 bilion. Keluk juga melepasi Jumlah dagangan $ 2 bilion. Ini mungkin disebabkan oleh penggodam Harvest Finance menggunakan pembuat pasaran automatik ini untuk memindahkan dana mereka.

Jumlah harian di Uniswap mencapai paras tertinggi sepanjang masa berikutan peretasan Harvest Finance. Sumber: Tolak

Bolehkah serangan pinjaman kilat dihentikan?

Pasukan Harvest Finance mengenal pasti beberapa kemungkinan penyelesaian untuk mencegah serangan pinjaman pinjaman. Yang pertama adalah melaksanakan mekanisme komitmen-dan-mendedahkan untuk deposit. Mekanisme ini akan menjadikan serangan pinjaman kilat tidak dapat dilakukan dengan menonaktifkan deposit dan pengeluaran dalam transaksi yang sama. Bagi pengguna, ini bermaksud deposit dan pengeluaran dicatat dalam transaksi yang berbeza – dan mereka akan membayar yuran gas yang sedikit lebih tinggi untuk itu. Pasukan ini juga merancang untuk menetapkan ambang yang lebih rendah untuk pemeriksaan arbitraj deposit yang lebih ketat, yang meningkatkan kos ekonomi untuk melancarkan serangan pinjaman kilat.

Untuk meningkatkan penemuan harga, beberapa protokol DeFi mungkin menggunakan oracle harga luaran, seperti Chainlink atau Maker. Namun, jika harga aset dalam protokol DeFi berbeza dari oracle, peti besi aset dapat terkena serangan arbitraj dan pinjaman kilat. Pasukan Harvest Finance percaya bahawa oracle blockchain bukanlah penyelesaian bagi mereka kerana reka bentuk sistem.

OKEx Insights menyajikan analisis pasaran, ciri mendalam, penyelidikan asli & berita yang disusun daripada profesional crypto.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me