Pasaran DeFi melepasi $ 40 bilion kerana Alpha Finance mengalami serangan pinjaman kilat terburuk dalam sejarah

OKEx Insights ‘DeFi Digest adalah pemeriksaan mingguan industri kewangan yang terdesentralisasi.

Imej DeFi Digest

Pasaran kewangan yang terdesentralisasi sekali lagi mencapai tahap tertinggi baru di belakang BTC mencapai pencapaian $ 50,000 di seluruh bursa global. Nilai keseluruhan yang terkunci dalam produk DeFi pertama kali melepasi $ 40 bilion pada 12 Februari dan telah mencatat kenaikan 8% setiap minggu.

Kenaikan berterusan di pasaran DeFi telah terbukti dalam bidang pinjaman, di mana jumlah pinjaman meningkat sebanyak 13% kepada $ 7.23 bilion. Compound menguasai pasaran pinjaman dengan bahagian 55%.

Jumlah dagangan purata mingguan pertukaran terdesentralisasi turun sedikit menjadi $ 2.28 bilion, pada masa penulisan ini. Uniswap – yang baru-baru ini telah di proses jumlah terkumpul lebih dari $ 100 bilion – terus menerajui DEX dengan bahagian pasaran 38%. Aave menggantikan SushiSwap sebagai kumpulan kecairan terbesar minggu ini, dengan nilai terkunci berjumlah $ 1.52 bilion.

Kategori Statistik utama Jumlah Perubahan% mingguan
Secara keseluruhan Jumlah nilai terkunci (USD) $ 39.94 bilion 8%
Penguasaan pasaran (%) Pembuat (16%)
Pinjaman Jumlah pinjaman vol. $ 7.23 bilion 13%
Penguasaan pasaran (%) Sebatian (55%)
DEX Purata mingguan perdagangan vol. $ 2.28 bilion -6%
Penguasaan pasaran (%) Uniswap (38%)
Pertanian hasil Kumpulan kecairan terbesar Aave ($ 1.52 bilion)

Minggu ini, jumlah nilai terkunci dan jumlah pinjaman meningkat, sementara jumlah dagangan DEX mingguan turun 6%. Sumber: DeFi Pulse dan DeBank

Serangan pinjaman kilat terbesar DeFi

Walaupun peserta pasaran DeFi merasa ragu-ragu mengenai pencapaian TVL bernilai $ 40 bilion minggu ini, Alpha Finance mengalami serangan pinjaman kilat yang menyebabkan kerugian kira-kira $ 38 juta. Ini mengatasi perolehan Harvest Finance sebanyak $ 34 juta dan menjadi serangan pinjaman kilat terbesar dalam sejarah DeFi yang agak singkat.

Pasukan Alpha Finance terlebih dahulu diisytiharkan serangan pinjaman kilat pada 13 Februari. Pasukan melepaskan a bedah siasat pada keesokan harinya untuk berkongsi perincian eksploitasi Alpha Homora V2.

Bedah siasat menyatakan bahawa penyerang melancarkan eksploitasi kompleks yang melibatkan lebih dari sembilan transaksi, yang diringkaskan dalam 13 langkah. Pasukan ini juga menyenaraikan kelemahan berikut dalam kontrak pintar Alpha Homora V2 yang memungkinkan eksploitasi:

  1. HomoraBankv2 memiliki kumpulan sUSD yang sedang dalam persiapan dan tidak dikeluarkan secara terbuka. Kumpulan sUSD tidak mempunyai kecairan dan penyerang dapat meningkatkan jumlah hutang dan bahagian hutang.
  2. Fungsi resolReserve dapat meningkatkan jumlah hutang tanpa meningkatkan jumlah bahagian hutang. Fungsi ini dapat dijalankan oleh pengguna mana pun.
  3. Terdapat salah perhitungan pembulatan dalam pengiraan fungsi pinjaman. Ini hanya berlaku ketika penyerang adalah satu-satunya peminjam.
  4. HomoraBankv2 menerima setiap ejaan yang disesuaikan dari pengguna, memandangkan jumlah cagaran lebih besar daripada jumlah pinjaman. (Mantra dalam Alpha Finance serupa dengan strategi dalam Yearn Finance.)

Untuk melancarkan serangan pinjaman kilat yang kompleks, penyerang terlebih dahulu mencipta jampi di Alpha Homora V2. Penyerang kemudian menukar ETH ke sUSD di Uniswap dan mendepositkan sUSD ke Iron Bank of Cream Finance. Untuk memanipulasi kumpulan sUSD, penyerang meminjam 1,000e18 sUSD dan melewati pemeriksaan keselamatan oleh mendepositkan token kumpulan kecairan UNI-WETH sebagai cagaran. Penyerang memperoleh balasan sebanyak 1,000e18 sUSD hutang. Penyerang menggunakan celah pertama dan keempat yang disebutkan sebelumnya untuk melakukan langkah-langkah ini.

Walaupun penyerang adalah peminjam tunggal dalam eksploitasi Alpha Finance ini, mereka memanfaatkan salah perhitungan pembulatan dalam fungsi pinjaman oleh membayar balik bahagian sUSD kurang daripada jumlah keseluruhan pinjaman. Penyerang ketika itu dilaksanakan the resolutionReserve berfungsi di bank sUSD, menyebabkan hutang terakru sebanyak 19.709 bilion sUSD kerana jumlah bahagian hutang kekal satu.

Penyerang mengulangi prosedur di atas sebanyak 26 kali dan menggandakan jumlah yang dipinjam setiap kali. Oleh kerana setiap pinjaman kurang dari jumlah nilai hutang, ini menyebabkan bahagian pinjaman yang sama adalah sifar, dan protokol tidak dapat mengenali pinjaman. Penyerang kemudian memperoleh pinjaman kilat dari Aave dan mencuci dana di Curve.

Reaksi Alpha Finance

Pada masa penulisan, penyerang diadakan 10,925 ETH di alamat dompet mereka. Sementara penyerang mempunyai didepositkan Stokoin bernilai lebih dari $ 10 juta di bawah ukuran Curve, mereka mengembalikan 1,000 ETH kepada pemaju Alpha Homora V2 dan Cream V2, masing-masing. Sebilangan kecil ETH yang dicuri dihantar ke Tornado dan Gitcoin Grant. Pasukan Alpha menganggarkan kerugian dana sebanyak $ 38 juta.

Pasukan Alpha menekankan bahawa pinjaman dari penyerang adalah hutang antara platform Alpha Homora V2 dan Cream V2, yang bermaksud bahawa dana pengguna tidak terlibat dalam kejadian ini. Pasukan Alpha Finance mengambil tindakan segera berikut untuk menghentikan eksploitasi:

  • Ini menghilangkan fungsi pinjaman dan pembayaran balik sUSD, mencegah pengguna membuka posisi leveraged baru.
  • Ini memastikan bahawa hanya mantra yang disenaraikan putih yang dapat dilaksanakan.
  • Ini memastikan bahawa hanya gabenor yang dapat melaksanakan "menyelesaikanResterve" fungsi.
  • Ia menghubungi pelbagai pihak untuk menyenarai hitam alamat penyerang.

Walaupun penyedia kecairan tidak dapat meminjam di Alpha, mereka masih boleh menambahkan cagaran, membayar hutang, menutup posisi dan mengambil token mereka. Pemberi pinjaman di Alpha Finance, sebaliknya, boleh meminjamkan dan mengeluarkan aset, seperti biasa.

Untuk mengurangkan kesan negatif yang ditimbulkan kepada pengguna Alpha Finance, pasukan ini bekerjasama dengan pengasas Yearn Finance Andre Cronje dan pasukan Cream Finance untuk menyelesaikan hutang.

Sebagai penyelesaian jangka sederhana hingga panjang, pasukan Alpha Finance terus mencari juruaudit luaran dan pemaju yang dipercayai untuk mengkaji semula kontrak pintar mereka. Pasukan ini juga mempertimbangkan untuk melancarkan program bug bounty yang baru dan kreatif untuk diikuti oleh protokol DeFi lain.

OKEx Insights menyajikan analisis pasaran, ciri mendalam dan berita yang disusun daripada profesional crypto.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map