Alpha Finance가 사상 최악의 플래시 대출 공격을 겪으면서 DeFi 시장이 400 억 달러를 넘어 섰습니다.

OKEx Insights의 DeFi Digest는 분산 형 금융 산업에 대한 주간 조사입니다..

DeFi Digest 이미지

탈 중앙화 금융 시장은 BTC의 뒤에서 다시 새로운 최고점에 도달하여 글로벌 거래소에서 $ 50,000 이정표를 기록했습니다. DeFi 제품에 고정 된 총 가치는 2 월 12 일에 처음으로 400 억 달러를 넘어서 주당 8 % 상승했습니다..

DeFi 시장의 지속적인 상승은 대출 분야에서 분명해졌으며 총 차입 규모는 13 % 증가한 72 억 3 천만 달러를 기록했습니다. 컴파운드는 55 %의 점유율로 대출 시장을 지배했습니다..

이 글을 쓰는 시점에서 분산 형 거래소의 주간 평균 거래량은 22 억 8 천만 달러로 약간 떨어졌습니다. Uniswap — 최근 처리 누적 거래량이 1 천억 달러 이상으로 38 %의 시장 점유율로 DEX를 계속 선도하고 있습니다. Aave는 이번 주 최대 유동성 풀로 SushiSwap을 대체했으며 총 잠금 가치는 15 억 2 천만 달러에 달했습니다..

범주 주요 통계 주간 변동률
사무용 겉옷 잠긴 총 가치 (USD) $ 39.94 억 8 %
시장 지배력 (%) 메이커 (16 %)
대출 총 차입 량. 72 억 3 천만 달러 13 %
시장 지배력 (%) 화합물 (55 %)
DEX 주간 평균 거래량. $ 228 억 -6 %
시장 지배력 (%) 유니 스왑 (38 %)
수확량 농업 최대 유동성 풀 Aave (15 억 2 천만 달러)

이번 주에는 잠긴 총 가치와 차용 볼륨이 모두 증가했습니다. 주간 DEX 거래량 6 % 하락했습니다. 출처 : DeFi Pulse 및 DeBank

DeFi의 가장 큰 플래시 대출 공격

DeFi 시장 참가자들은 이번 주에 400 억 달러의 TVL 이정표에 대해 과장된 반면, Alpha Finance는 플래시 대출 공격을 받아 대략 3,800 만 달러의 손실을 입었습니다. 이것은 Harvest Finance의 3,400 만 달러의 해킹을 능가하고 DeFi의 비교적 짧은 역사상 가장 큰 플래시 대출 공격이되었습니다..

Alpha Finance 팀이 먼저 선언 2 월 13 일에 플래시 론 공격이 발생했습니다. 검시 다음날 Alpha Homora V2 익스플로잇에 대한 세부 정보 공유.

사후 분석은 공격자가 9 개 이상의 트랜잭션을 포함하는 복잡한 익스플로잇을 시작했다고 밝혔으며 이는 13 단계로 요약되었습니다. 팀은 또한 악용을 가능하게 한 Alpha Homora V2 스마트 계약에 다음과 같은 허점을 나열했습니다.

  1. HomoraBankv2에는 준비 중이며 공개되지 않은 sUSD 풀이 있습니다. sUSD 풀에는 유동성이 없었고 공격자는 총 부채 금액과 총 부채 지분을 모두 부 풀릴 수 있습니다..
  2. resolveReserve 함수는 총 부채 몫을 늘리지 않고도 총 부채를 늘릴 수 있습니다. 이 기능은 모든 사용자가 실행할 수 있습니다..
  3. 차용 함수 계산에 반올림 오류가 발생했습니다. 이것은 공격자가 유일한 차용자 인 경우에만 적용됩니다..
  4. HomoraBankv2는 담보 금액이 차용 금액보다 많기 때문에 사용자의 맞춤 주문을 수락했습니다. (Alpha Finance의 주문은 Yearn Finance의 전략과 유사합니다.)

복잡한 플래시 론 공격을 시작하려면 먼저 공격자가 주문을 만들었다 Alpha Homora V2에서 공격자는 Uniswap에서 ETH를 sUSD로 교환하고 sUSD를 Iron Bank of Cream Finance에 예치했습니다. sUSD 풀을 조작하기 위해 공격자는 1,000e18 sUSD를 빌려 보안 검사를 우회했습니다. 입금 UNI-WETH의 유동성 풀 토큰을 담보로 제공합니다. 공격자는 그 대가로 1,000e18 sUSD 부채 지분을 획득했습니다. 공격자는 앞서 언급 한 첫 번째 및 네 번째 허점을 활용하여 이러한 단계를 수행했습니다..

공격자는이 Alpha Finance 익스플로잇의 유일한 차용자 였지만 차용 함수의 반올림 오산을 이용하여 상환 총 차입 금액보다 하나 적은 sUSD 지분. 공격자는 실행 sUSD 은행의 resolveReserve 기능으로 총 부채 몫이 1로 유지되면서 발생한 부채는 19,709 억 sUSD입니다..

공격자는 위의 절차를 26 회 반복하고 매번 빌린 금액을 두 배로 늘 렸습니다. 각 차입금이 총 부채 가치보다 하나 적기 때문에 해당 차입 지분이 0이되었고 프로토콜은 차입금을 인식 할 수 없었습니다. 공격자는 Aave에서 플래시 대출을 받고 Curve에서 자금을 세탁했습니다..

Alpha Finance의 반응

글을 쓰는 시점에서 공격자는 개최 지갑 주소에 10,925 ETH. 공격자는 입금 Curve의 게이지로 1,000 만 달러 이상의 스 테이블 코인을 보유하고 있으며 Alpha Homora V2 및 Cream V2 개발자에게 각각 1,000 ETH를 반환했습니다. 도난당한 ETH의 일부는 Tornado 및 Gitcoin Grant로 전송되었습니다. Alpha 팀은 총 3,800 만 달러의 자금 손실을 추정했습니다..

Alpha 팀은 공격자의 차입이 Alpha Homora V2와 Cream V2 플랫폼 간의 부채라고 강조했습니다. 이는 사용자의 자금이이 사건에 관여하지 않았 음을 의미합니다. Alpha Finance 팀은 익스플로잇을 중단하기 위해 다음과 같은 즉각적인 조치를 취했습니다.

  • sUSD의 차입 및 상환 기능을 제거하여 사용자가 새로운 레버리지 포지션을 열지 못하게했습니다..
  • 화이트리스트에있는 주문 만 실행할 수 있도록했습니다..
  • 주지사 만이 "resolveReserve" 함수.
  • 다양한 당사자에게 연락하여 공격자의 주소를 블랙리스트에 올렸습니다..

유동성 공급자는 Alpha에서 차입 할 수 없지만 담보를 추가하고 부채를 상환하고 포지션을 닫고 농장 토큰을 수확 할 수 있습니다. 반면 Alpha Finance의 대출 기관은 평소와 같이 자산을 빌리고 인출 할 수 있습니다..

Alpha Finance 사용자에게 미치는 부정적인 영향을 완화하기 위해 팀은 Yearn Finance 설립자 Andre Cronje 및 Cream Finance 팀과 협력하여 부채를 해결하고 있습니다..

중장기 솔루션으로서 Alpha Finance 팀은 스마트 계약을 검토 할 외부 감사 자와 신뢰할 수있는 개발자를 계속 찾습니다. 팀은 또한 다른 DeFi 프로토콜이 따를 수 있도록 새롭고 창의적인 버그 바운티 프로그램 출시를 고려하고 있습니다..

OKEx Insights는 시장 분석, 심층 기능 및 암호화 전문가로부터 선별 된 뉴스를 제공합니다..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map