ValueDeFi 플래시 대출 공격은 DeFi에서 심각한 실사 부족을 드러냅니다

OKEx Insights의 DeFi Digest는 분산 형 금융 산업에 대한 주간 조사입니다..

DeFi 시장 현황

탈 중앙화 금융 시장은 DeFi 제품에 고정 된 총 가치가 136 억 5 천만 달러에서 138 억 달러로 소폭 상승함에 따라 이번 주 강세 모멘텀을 유지했습니다.. 

탈 중앙화 대출 시장은 총 대출액이 30 억 9000 만 달러에 달하면서 이번 주에 8 % 성장했습니다. 성장의 혜택으로 Maker는 17 %의 시장 지배 수준으로 전체 DeFi 리더로서 Uniswap을 대체했습니다. 한편 Compound는 55 %의 점유율로 대출 분야에서 시장 지배력을 유지했습니다..

탈 중앙화 거래소의 주간 평균 거래량은 20 % 증가하여 이번 주 5 억 3 천만 달러에 도달했습니다. Uniswap은 37 %의 거래량 우위를 유지했지만 가장 큰 유동성 풀을 보유한 위치는 주요 경쟁 업체 인 SushiSwap으로 대체되었습니다..

DEX의 주간 거래량은 20 % 증가했습니다. 출처: DeFi 펄스DeBank

DeFi에 문제가있는 플래시 대출 공격

수익 애그리 게이터 ValueDeFi가 불과 3 주 만에 다섯 번째 희생자가되면서 Flash-loan 공격은 DeFi 커뮤니티에 골칫거리가되었습니다. Harvest Finance에서 3,400 만 달러의 손실을 입은 후 Akropolis, Origin Protocol 및 Cheese Bank의 플래시 대출 익스플로잇이 발생했습니다. 2 백만 달러, 7 백만 달러$ 330 만, 각기.

ValueDeFi는 11 월 14 일에 6 백만 달러의 플래시 대출 익스플로잇으로 피해를 입었습니다. 자칭 화이트 햇 해커 인 Emiliano Bonassi에 따르면 ValueDeFi 프로토콜의 플래시 대출 익스플로잇은 다음과 같습니다. 더 복잡한 두 개의 플래시 대출이 사용 되었기 때문에 이전 공격보다 해커는 80,000 ETH의 플래시 대출 — 3,600 만 달러 이상의 가치 — Uniswap에서 DAI로 1 억 1,600 만 달러의 플래시 대출을 받아 ValueDeFi 프로토콜을 활용하여 6 백만 달러의 순손실이 발생했습니다.. 

공격에 대한 자세한 단계는 Bonassi의 Twitter 계정에 설명되어 있습니다.

해커들은 ValueDeFi 프로토콜을 악용하기 위해 Aave와 Uniswap에서 두 개의 플래시 대출을 사용했습니다. 출처: 트위터 / @emilianobonassi

에 따르면 분석 감사 회사 PeckShield가 수행 한 ValueDeFi 프로토콜 악용의 근본 원인은 "MultiStablesVaults," Curve를 사용하여 자산 가격을 측정합니다. 버그로 인해 해커는 플래시 대출을 사용하여 3crv 토큰의 가격을 조작 할 수있었습니다. 그 후, 그들은 풀에서 발행 된 토큰을 소각하여 정상적인 2,495 백만 대신 3,088 백만 3crv 토큰의 불균형적인 몫을 상환 할 수 있습니다. 해커는 DAI를 위해 3crv 토큰을 사용하여 740 만 달러의 손실을 입었습니다. (그러나 해커는 ValueDeFi의 핵심 개발자에게 2 백만 달러를 반환했습니다.)

ValueDeFi에 의한 개선 조치

ValueDeFi 팀은 사후 분석 이러한 플래시 론 공격을 방지하기위한 즉각적인 해결책과 중기 계획을 설명합니다..

첫 번째 단계로 MultiStables 볼트에 대한 예금이 중지되었습니다. 정확한 보상 금액을 계산하기 위해 팀은 공격 전에 모든 사용자의 잔액에 대한 스냅 샷을 찍었습니다. 팀은 또한 MultiStables 볼트의 두 번째 버전을 출시 할 계획입니다. 릴리스 전에 두 번째 볼트는 공개 감사 자와 공개 Solidity 개발자가 감사합니다..

첫 번째 버전의 Vault와 비교하여 두 번째 버전 Chainlink 가격 피드 사용 데이터 품질을 향상시키고 오라클 보안을 제공하며 정확한 자산 가격을 제공합니다. 가격 오라클을 사용하면 ValueDeFi 프로토콜이 Curve의 온 체인 유동성 풀 또는 기타 온 체인 생성 가격 피드에서 데이터를 추출 할 때 일시적인 플래시 대출로 인한 가격 왜곡에 대한 노출을 줄일 수 있습니다. 또한 Chainlink 가격 피드는 여러 거래에서 동시에 업데이트되지 않기 때문에 플래시 대출은 단일 거래 내에서만 존재하므로 가격을 조작 할 수 없습니다..

팀은 개발자 기금, 보험 기금 및 프로토콜에서 수집 한 수수료의 일부를 기반으로 보상 기금을 만들 것입니다. 사용자의 자본에 대한 액세스 부족을 보상하기 위해 팀은 사용자에게 반환되지 않은 자금을 나타내는 IOU 토큰을 만들었습니다. IOU 토큰에는 매주 10 %의 연간 수익률이 자동으로 누적되는 인플레이션이 내장되어 있습니다..

팀은 또한 해커들과 함께 해결책을 계속 모색했습니다. 예를 들어, 제안 1 백만 DAI 배포를 바운티로하고 해커에게 남은 자금을 영향을받는 사용자에게 반환하도록 요청했습니다. 해커가 아직이 요청에 응답하지 않았습니다..

고통스러운 교훈

최근 DeFi 프로토콜에 대한 플래시 대출 익스플로잇은 일부 시장 참여자들 사이에서 DeFi 메커니즘에 대한 이해 부족을 다시 한 번 드러 냈습니다. ValueDeFi 프로토콜 익스플로잇에서 자체 설명 간호사 자칭 19 세 학생 각각 $ 100,000와 $ 200,000를 잃었습니다. 해커는 간호사와 학생에게 각각 50,000 DAI와 45,000 DAI를 반환했지만 지식과주의 부족과 관련된 위험에 대해 사용자에게 경고했습니다..

ValueDeFi 프로토콜의 해커는 사용자에게 수확량 농업 프로토콜에 대한 투자의 위험에 대해 경고했습니다. 출처: Etherscan

앞서 언급 한 예는 일부 DeFi 참여자가 스마트 계약에 내재 된 위험을 인정하지 않고 수확량 농업 프로토콜의 현재 수익만을 고려하는 방법을 보여줍니다. ValueDeFi 팀조차도 DeFi 프로토콜에 투자 할 때 항상 위험 요소가 수반된다는 것을 반복했습니다..

새로운 DeFi 프로토콜의 배포가 점점 복잡 해짐에 따라 이러한 프로토콜에 대한 투자의 위험은 증가 할 것입니다..

OKEx Insights는 시장 분석, 심층 기능, 독창적 인 연구를 제공합니다. & 암호화 전문가로부터 선별 된 뉴스.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me