DeFi tirgus pārsniedz 40 miljardus ASV dolāru, jo Alpha Finance cieš vissliktāko ātro aizdevumu uzbrukumu vēsturē

OKEx Insights DeFi Digest ir iknedēļas pārbaude par decentralizēto finanšu nozari.

DeFi Digest attēls

Decentralizētais finanšu tirgus atkal sasniedza jaunus augstākos līmeņus BTC aizmugurē, sasniedzot 50 000 ASV dolāru lielu atskaites punktu pasaules biržās. DeFi produktu bloķētā vērtība 12. februārī vispirms pārsniedza 40 miljardus ASV dolāru, un nedēļas pieaugums bija 8%.

Nepārtrauktais DeFi tirgus pieaugums ir acīmredzams kreditēšanas jomā, kur kopējais aizņēmumu apjoms pieauga par 13% līdz 7,23 miljardiem USD. Kreditēšanas tirgū dominēja savienojums ar 55% daļu.

Nedēļas vidējais decentralizēto biržu tirdzniecības apjoms šī raksta sagatavošanas laikā nedaudz samazinājās līdz 2,28 miljardiem ASV dolāru. Uniswap – kas nesen apstrādāti kumulatīvais apjoms pārsniedz USD 100 miljardus – turpina vadīt DEX ar 38% tirgus daļu. Aave nomainīja SushiSwap kā lielāko likviditātes rezervi šonedēļ, un tā kopējā bloķētā vērtība sasniedza 1,52 miljardus ASV dolāru.

Kategorija Galvenā statistika Summa Nedēļas% izmaiņas
Kopumā Kopējā bloķētā vērtība (USD) 39,94 miljardi ASV dolāru 8%
Tirgus dominance (%) Veidotājs (16%)
Kreditēšana Kopējais aizņēmumu apjoms. 7,23 miljardi ASV dolāru 13%
Tirgus dominance (%) Savienojums (55%)
DEX Nedēļas vid. trading vol. 2,28 miljardi ASV dolāru -6%
Tirgus dominance (%) Uniswap (38%)
Ražas lauksaimniecība Lielākais likviditātes fonds Aave (1,52 miljardi USD)

Šonedēļ gan kopējā bloķētā vērtība, gan aizņēmumu apjoms pieauga, savukārt nedēļas DEX tirdzniecības apjomi samazinājās par 6%. Avots: DeFi Pulse un DeBank

DeFi lielākais ātro aizdevumu uzbrukums

Kamēr DeFi tirgus dalībniekiem šonedēļ radās satraukums par 40 miljardu dolāru vērto TVL pavērsienu, Alpha Finance piedzīvoja ātro aizdevumu uzbrukumu, kura rezultātā tika zaudēti aptuveni 38 miljoni dolāru. Tas pārsniedza Harvest Finance 34 miljonu dolāru uzlaušanu un kļuva par lielāko ātro aizdevumu uzbrukumu DeFi salīdzinoši īsajā vēsturē.

Vispirms Alpha Finance komanda deklarēts ātrais kredīts uzbrukumā 13. februārī. Komanda izlaida a pēcnāves nākamajā dienā, lai dalītos ar informāciju par Alpha Homora V2 ekspluatāciju.

Pēckaušanas paziņoja, ka uzbrucējs uzsāka sarežģītu ekspluatāciju, kurā bija iesaistīti vairāk nekā deviņi darījumi, un tas tika apkopots 13 posmos. Komanda arī uzskaitīja šādas nepilnības Alpha Homora V2 viedajā līgumā, kas ļāva izmantot:

  1. HomoraBankv2 bija sUSD kopa, kas tika sagatavota un netika publiski izlaista. SUSD fondam nebija likviditātes, un uzbrucējs varēja uzpūst gan kopējo parāda summu, gan kopējo parāda daļu.
  2. Funkcija ResolReserve varētu palielināt kopējo parādu, nepalielinot kopējo parāda daļu. Šo funkciju varēja izpildīt jebkurš lietotājs.
  3. Aizņēmuma funkcijas aprēķinā tika noapaļots nepareizs aprēķins. Tas bija piemērojams tikai tad, kad uzbrucējs bija vienīgais aizņēmējs.
  4. HomoraBankv2 pieņēma jebkuru pielāgotu burvestību no lietotājiem, ņemot vērā, ka nodrošinājuma summa ir lielāka nekā aizņēmuma summa. (Burvestība Alpha Finance ir līdzīga Yearn Finance stratēģijai.)

Lai sāktu sarežģīto ātro aizdevumu uzbrukumu, uzbrucējs vispirms izveidoja burvestību Alfa Homora V2. Pēc tam uzbrucējs nomainīja ETH uz sUSD uz Uniswap un noguldīja sUSD krējuma finanšu dzelzs bankā. Lai manipulētu ar sUSD baseinu, uzbrucējs aizņēmās 1 000 e18 sUSD un apieta drošības pārbaudi ar deponēšana UNI-WETH likviditātes portfeļa žetons kā nodrošinājums. Uzbrucējs pretī ieguva 1000e18 sUSD parāda daļas. Uzbrucējs izmantoja pirmās un ceturtās nepilnības, kas minētas iepriekš, lai veiktu šīs darbības.

Kaut arī uzbrucējs bija vienīgais aizņēmējs šajā Alpha Finance izmantojumā, viņi izmantoja aizņēmuma funkcijas noapaļošanas nepareizo aprēķinu, atmaksājot sUSD daļa par vienu mazāk nekā kopējā aizņēmuma summa. Uzbrucējs tad izpildīts funkcija ResolReserve sUSD bankā, kā rezultātā uzkrātais parāds ir 19,709 miljardi sUSD, jo kopējā parāda daļa palika viena.

Uzbrucējs iepriekš minētās procedūras atkārtoja 26 reizes un katru reizi dubultoja aizņemto summu. Tā kā katrs aizņēmums bija par vienu mazāks par kopējo parāda vērtību, tas izraisīja atbilstošu aizņēmuma daļu nulle, un protokols nevarēja atzīt aizņēmumu. Pēc tam uzbrucējs ieguva ātros kredītus no Aave un atmazgāja līdzekļus Curve.

Alpha Finance reakcija


Uzrakstīšanas laikā uzbrucējs notika 10 925 ETH viņu maka adresē. Kamēr uzbrucējam ir deponēts Vairāk nekā 10 miljonu ASV dolāru vērtībā stablecoins saskaņā ar Curve gabarītu viņi atdeva 1000 ETH attiecīgi Alpha Homora V2 un Cream V2 izstrādātājiem. Neliela daļa no nozagtā ETH tika nosūtīta uz Tornado un Gitcoin Grant. Alfa komanda lēsa, ka kopējie fonda zaudējumi ir 38 miljoni ASV dolāru.

Alfa komanda uzsvēra, ka aizņemšanās no uzbrucējiem bija parāds starp Alpha Homora V2 un Cream V2 platformām, kas nozīmē, ka lietotāju līdzekļi šajā incidentā nebija iesaistīti. Alpha Finance komanda veica šādas tūlītējas darbības, lai apturētu ekspluatāciju:

  • Tas atcēla sUSD aizņemšanās un atmaksas funkcionalitāti, neļaujot lietotājiem atvērt jaunas pozīcijas ar aizņemto līdzekli.
  • Tas nodrošināja, ka var izpildīt tikai baltā saraksta burvestības.
  • Tas nodrošināja, ka tikai gubernators varēja izpildīt "atrisinātRezervēt" funkciju.
  • Tā sazinājās ar dažādām pusēm, lai uzbrucēja adresi iekļautu melnajā sarakstā.

Lai gan likviditātes nodrošinātāji nevar aizņemties Alfā, viņi joprojām var pievienot nodrošinājumu, atmaksāt parādu, slēgt pozīcijas un novākt savus saimniecībā turētos žetonus. Savukārt Alpha Finance aizdevēji var aizdot un izņemt aktīvus, kā parasti.

Lai mazinātu Alpha Finance lietotājiem radīto negatīvo ietekmi, komanda sadarbojas ar Yearn Finance dibinātāju Andre Cronje un Cream Finance komandu, lai atrisinātu parādu.

Kā vidēja termiņa un ilgtermiņa risinājumu Alpha Finance komanda turpināja meklēt ārējos auditorus un uzticamus izstrādātājus, lai pārskatītu viņu viedos līgumus. Komanda arī apsver iespēju sākt jaunas un radošas kļūdu atlīdzības programmas, lai tās varētu sekot citiem DeFi protokoliem.

OKEx Insights piedāvā tirgus analīzi, padziļinātas funkcijas un kripto profesionāļu sagatavotās ziņas.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map