ValueDeFi ātrā aizdevuma uzbrukums atklāj kritisku pienācīgas rūpības trūkumu DeFi

OKEx Insights DeFi Digest ir iknedēļas pārbaude par decentralizēto finanšu nozari.

DeFi tirgus momentuzņēmums

Decentralizētais finanšu tirgus šonedēļ saglabāja strauju impulsu, jo kopējā DeFi produktu bloķētā vērtība nedaudz pieauga no 13,65 miljardiem līdz 13,80 miljardiem ASV dolāru. 

Decentralizēto kreditēšanas tirgus šonedēļ pieauga par 8%, jo kopējais aizņēmumu apjoms sasniedza 3,09 miljardus USD. Gūstot labumu no izaugsmes, Maker nomainīja Uniswap kā vispārējo DeFi līderi ar 17% tirgus dominēšanas līmeni. Tikmēr Compound saglabāja savu dominējošo stāvokli kreditēšanas jomā ar 55% daļu.

Nedēļas vidējais decentralizēto biržu tirdzniecības apjoms pieauga par 20% un šonedēļ sasniedza 0,53 miljardus USD. Kamēr Uniswap saglabāja savu 37% dominējošo tirdzniecības apjomu, tā pozīciju kā lielāko likviditātes rezervi aizstāja tās galvenais konkurents SushiSwap.

DEX tirdzniecības apjoms nedēļā palielinājās par 20%. Avots: DeFi pulss un DeBank

Ātrā aizdevuma uzbrukumi izrādījās problemātiski DeFi

Ātrie kredītu uzbrukumi ir kļuvuši par DeFi kopienas galvassāpēm, jo ​​ienesīguma apkopotājs ValueDeFi kļuva par piekto upuri tikai trīs nedēļu laikā. Pēc Harvest Finance zaudējumiem 34 miljonu ASV dolāru apmērā Akropolis, Origin Protocol un Cheese Bank tika izmantoti ātrie aizdevumi, zaudējot 2 miljoni ASV dolāru, 7 miljoni ASV dolāru un 3,3 miljoni USD, attiecīgi.

ValueDeFi 14. novembrī cieta no ātro aizdevumu izmantošanas 6 miljonu ASV dolāru vērtībā. Pēc pašu aprakstītā hakeru baltās cepures Emiliano Bonassi domām, ātrā aizdevuma izmantošana ValueDeFi protokolā bija sarežģītāka nekā iepriekšējie uzbrukumi, jo tika izmantoti divi ātrie kredīti. Hakeri izņēma a ātrais aizdevums 80 000 ETH apmērā – vairāk nekā 36 miljonu ASV dolāru vērtībā – un ātro aizdevumu DAI 116 miljonu ASV dolāru apmērā no Uniswap, lai izmantotu ValueDeFi protokolu, kā rezultātā neto zaudējumi ir 6 miljoni USD. 

Detalizētas uzbrukuma darbības tika ilustrētas Bonassi Twitter kontā:

Hakeri izmantoja divus ātros aizdevumus vietnēs Aave un Uniswap, lai izmantotu ValueDeFi protokolu. Avots: Twitter / @emilianobonassi

Saskaņā ar analīze veica revīzijas firma PeckShield, ValueDeFi protokola izmantošanas pamatcēlonis bija kļūda "MultiStablesVaults," kas izmanto līkni, lai izmērītu aktīvu cenu. Kļūdas dēļ hakeri varēja izmantot ātros kredītus, lai manipulētu ar 3crv žetonu cenu. Pēc tam viņi varēja sadedzināt kaltos žetonus no baseina, lai izpirktu nesamērīgu daļu no 33,08 miljoniem 3crv žetonu, nevis parasto 24,95 miljonu. Pēc tam hakeri izpirka DAI 3crv žetonus, kā rezultātā DAI zaudēja 7,4 miljonus ASV dolāru. (Hakeri tomēr atgrieza 2 miljonus ASV dolāru ValueDeFi galvenajiem izstrādātājiem.)

ValueDeFi novēršanas darbības

ValueDeFi komanda publicēja a pēcnāves analīze tajā izklāstīti tūlītēji tiesiskās aizsardzības līdzekļi un vidēja termiņa plāni, lai novērstu šādus ātro aizdevumu uzbrukumus.

Kā pirmais solis noguldījumi MultiStables glabātuvē ir apturēti. Lai aprēķinātu precīzu kompensācijas summu, komanda pirms uzbrukuma ir uzņēmusi momentuzņēmumus par katra lietotāja bilanci. Komanda arī plāno izlaist otro MultiStables glabātuves versiju. Pirms izlaišanas otro glabātuvi pārbaudīs valsts auditori un sabiedrības Solidity izstrādātāji.

Salīdzinot ar pirmo glabātuves versiju, otro versiju izmanto Chainlink cenu plūsmas lai uzlabotu datu kvalitāti, nodrošinātu orākula drošību un piegādātu precīzas aktīvu cenas. Cenu orākulu izmantošana samazina īslaicīgu ātro aizdevumu izraisītu cenu izkropļojumu iedarbību, kad ValueDeFi protokols izvelk datus no Curve ķēdes likviditātes portfeļiem vai citām ķēdē ģenerētām cenu plūsmām. Turklāt, tā kā Chainlink cenu plūsmas netiek vienlaikus atjauninātas vairāku darījumu laikā, ātrie aizdevumi nespēj manipulēt ar cenu – jo tie pastāv tikai viena darījuma ietvaros.

Komanda izveidos kompensācijas fondu, pamatojoties uz izstrādātāju fondiem, apdrošināšanas fondu un daļu no protokolā iekasētajām maksām. Lai kompensētu lietotājiem piekļuves trūkumu viņu kapitālam, komanda ir izveidojusi IOU žetonus, lai attēlotu līdzekļus, kas nav atgriezti lietotājiem. IOU marķieriem ir iebūvēta inflācija, kas katru nedēļu automātiski uzkrās 10% gada procentu likmi.

Komanda arī turpināja meklēt risinājumu ar hakeriem. Piemēram, tā ierosināts 1 miljonu DAI izplatīšanu kā atalgojumu un lūdza hakeriem atdot atlikušos līdzekļus skartajiem lietotājiem. Hakeri vēl nav atbildējuši uz šo pieprasījumu.

Sāpīgas nodarbības

Nesenais ātro aizdevumu izmantojums DeFi protokolos atkal atklāja dažu tirgus dalībnieku izpratnes trūkumu DeFi mehānikā. ValueDeFi protokola izmantojumā pats aprakstīts medmāsa un pašu aprakstīts 19 gadus vecs jaunietis students zaudēja attiecīgi 100 000 un 200 000 USD. Lai arī hakeri medmāsai un studentam atdeva attiecīgi 50 000 DAI un 45 000 DAI, viņi brīdināja lietotājus par riskiem, kas saistīti ar viņu zināšanu un piesardzības trūkumu..

Hakeri, kas izmanto ValueDeFi protokolu, brīdināja lietotājus par riskiem, ko rada ieguldījumi ražas audzēšanas protokolos. Avots: Eterskanna

Iepriekš minētie piemēri parāda, kā daži DeFi dalībnieki tikai ņem vērā pašreizējo ienesīgumu no ražas audzēšanas protokoliem, neatzīstot viedajiem līgumiem raksturīgos riskus. Pat ValueDeFi komanda atkārtoja, ka, ieguldot DeFi protokolos, vienmēr ir risks.

Tā kā jauno DeFi protokolu ieviešana kļūst arvien sarežģītāka, investīciju risks šajos protokolos, iespējams, tikai palielināsies.

OKEx Insights piedāvā tirgus analīzi, padziļinātas funkcijas, oriģinālus pētījumus & kurētas ziņas no kriptogrāfijas profesionāļiem.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me