Serangan pinjaman kilat ValueDeFi mendedahkan kekurangan kritikan wajar dalam DeFi

OKEx Insights ‘DeFi Digest adalah pemeriksaan mingguan industri kewangan yang terdesentralisasi.

Gambaran pasaran DeFi

Pasaran kewangan terdesentralisasi mengekalkan momentum kenaikan minggu ini kerana jumlah nilai yang terkunci dalam produk DeFi meningkat sedikit dari $ 13.65 bilion menjadi $ 13.80 bilion. 

Pasaran pinjaman terdesentralisasi meningkat sebanyak 8% minggu ini kerana jumlah pinjaman mencapai $ 3.09 bilion. Mendapat keuntungan dari pertumbuhan, Maker menggantikan Uniswap sebagai pemimpin DeFi keseluruhan, dengan tahap penguasaan pasaran 17%. Sementara itu, Compound mengekalkan dominasi pasarannya dalam bidang pinjaman, dengan bahagian 55%.

Jumlah dagangan purata mingguan pertukaran terdesentralisasi meningkat sebanyak 20% dan mencapai $ 0.53 bilion minggu ini. Walaupun Uniswap mengekalkan dominasi jumlah dagangannya sebanyak 37%, kedudukannya sebagai kumpulan kecairan terbesar digantikan oleh pesaing utamanya, SushiSwap.

Jumlah dagangan Mingguan DEX meningkat 20%. Sumber: Denyutan DeFi dan DeBank

Serangan pinjaman kilat terbukti bermasalah untuk DeFi

Serangan pinjaman kilat telah menjadi sakit kepala bagi komuniti DeFi ketika agregat hasil ValueDeFi menjadi mangsa kelima hanya dalam tiga minggu. Berikutan kerugian $ 34 juta dari Harvest Finance, terdapat eksploitasi pinjaman kilat dari Akropolis, Origin Protocol dan Cheese Bank, dengan kerugian sebanyak $ 2 juta, $ 7 juta dan $ 3.3 juta, masing-masing.

ValueDeFi mengalami eksploitasi pinjaman kilat $ 6 juta pada 14 November. Menurut Emiliano Bonassi, seorang penggodam topi putih yang digambarkan sendiri, eksploitasi pinjaman kilat pada protokol ValueDeFi adalah lebih kompleks daripada serangan sebelumnya, kerana dua pinjaman kilat digunakan. Penggodam mengeluarkan a pinjaman kilat sebanyak 80,000 ETH – bernilai lebih dari $ 36 juta – dan pinjaman kilat $ 116 juta di DAI dari Uniswap untuk mengeksploitasi protokol ValueDeFi, mengakibatkan kerugian bersih $ 6 juta. 

Langkah terperinci untuk serangan tersebut digambarkan di akaun Twitter Bonassi:

Peretas menggunakan dua pinjaman kilat di Aave dan Uniswap untuk mengeksploitasi protokol ValueDeFi. Sumber: Twitter / @emilianobonassi

Menurut sebuah analisis yang dilakukan oleh firma audit PeckShield, punca eksploitasi ValueDeFi adalah bug di dalamnya "MultiStablesVaults," yang menggunakan Curve untuk mengukur harga aset. Kerana bug, penggodam dapat menggunakan pinjaman kilat untuk memanipulasi harga token 3krv. Selepas itu, mereka dapat membakar token yang dicetak dari kolam untuk menebus bahagian yang tidak proporsional sebanyak 33.08 juta token 3krv, bukannya 24.95 juta yang biasa. Peretas kemudian menebus token 3crv untuk DAI, yang menyebabkan kerugian $ 7.4 juta di DAI. (Namun, para penggodam mengembalikan $ 2 juta kepada pemaju teras ValueDeFi.)

Tindakan pemulihan oleh ValueDeFi

Pasukan ValueDeFi menerbitkan a analisis bedah siasat yang menggariskan penyelesaian segera dan rancangan jangka menengah untuk mencegah serangan pinjaman kilat tersebut.


Sebagai langkah pertama, simpanan di peti besi MultiStables telah dihentikan. Untuk mengira jumlah pampasan yang tepat, pasukan telah mengambil gambar baki setiap pengguna sebelum serangan. Pasukan ini juga merancang untuk melepaskan versi kedua peti besi MultiStables. Sebelum dilancarkan, peti besi kedua akan diaudit oleh juruaudit awam dan pemaju Soliditi awam.

Berbanding dengan versi pertama peti besi, versi kedua menggunakan suapan harga Chainlink untuk meningkatkan kualiti data, memberikan keselamatan oracle dan memberikan harga aset yang tepat. Penggunaan oracle harga mengurangkan pendedahan kepada penyimpangan harga yang disebabkan oleh pinjaman kilat sementara ketika protokol ValueDeFi mengekstrak data dari kumpulan kecairan dalam rantai Curve atau suapan harga lain yang dihasilkan di rantai. Selain itu, kerana feed harga Chainlink tidak dikemas kini secara serentak melalui beberapa transaksi, pinjaman kilat tidak mempunyai kemampuan untuk memanipulasi harga – kerana hanya ada dalam satu transaksi.

Pasukan ini akan membuat dana pampasan berdasarkan dana pemaju, dana insurans dan sebahagian daripada bayaran yang dikumpulkan oleh protokol. Untuk mengimbangi pengguna kekurangan akses ke modal mereka, pasukan telah membuat token IOU untuk mewakili dana yang belum dikembalikan kepada pengguna. Token IOU mempunyai inflasi bawaan yang secara automatik akan memperoleh hasil peratusan tahunan 10% setiap minggu.

Pasukan ini juga terus mencari penyelesaian dengan penggodam. Contohnya, ia dicadangkan sebaran 1 juta DAI sebagai hadiah dan meminta agar penggodam mengembalikan baki dana kepada pengguna yang terjejas. Penggodam belum menjawab permintaan ini.

Pelajaran yang menyakitkan

Eksploitasi pinjaman kilat baru-baru ini pada protokol DeFi sekali lagi memperlihatkan kurangnya pemahaman mengenai mekanik DeFi di antara beberapa peserta pasaran. Dalam eksploitasi protokol ValueDeFi, digambarkan sendiri jururawat dan berusia 19 tahun yang digambarkan sendiri pelajar masing-masing kehilangan $ 100,000 dan $ 200,000. Walaupun penggodam mengembalikan masing-masing 50,000 DAI dan 45,000 DAI kepada jururawat dan pelajar, mereka memberi amaran kepada pengguna mengenai risiko yang berkaitan dengan kurangnya pengetahuan dan berhati-hati.

Penggodam dalam protokol ValueDeFi mengeksploitasi pengguna tentang risiko pelaburan dalam protokol pertanian hasil. Sumber: Etherscan

Contoh-contoh yang disebutkan di atas menggambarkan bagaimana sebilangan peserta DeFi hanya mempertimbangkan pulangan semasa dari protokol pertanian hasil tanpa mengakui risiko yang melekat pada kontrak pintar. Malah pasukan ValueDeFi mengulangi bahawa selalu ada unsur risiko yang terlibat ketika melabur dalam protokol DeFi.

Dengan penggunaan protokol DeFi baru menjadi semakin rumit, risiko melabur ke dalam protokol ini cenderung meningkat.

OKEx Insights menyajikan analisis pasaran, ciri mendalam, penyelidikan asli & berita yang disusun daripada profesional crypto.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map