El mercat DeFi supera els 40.000 milions de dòlars, ja que Alpha Finance sofreix el pitjor atac de préstec flash de la història

DeFi Digest d’OKEx Insights és un examen setmanal de la indústria financera descentralitzada.

Imatge DeFi Digest

El mercat de les finances descentralitzades va assolir de nou els màxims de la part posterior de BTC i va assolir la fita de 50.000 dòlars en els intercanvis mundials. El valor total bloquejat en els productes DeFi va superar per primer cop els 40.000 milions de dòlars el 12 de febrer i va obtenir un guany setmanal del 8%.

L’augment continuat del mercat DeFi ha estat evident en l’àmbit creditici, on els volums de préstecs totals van augmentar un 13%, fins als 7.223 milions de dòlars. Compound va dominar el mercat creditici amb una participació del 55%.

El volum mitjà setmanal de negociació d’intercanvis descentralitzats va caure lleugerament fins als 2280 milions de dòlars, en el moment de la redacció d’aquest article. Uniswap – que recentment processat un volum acumulat de més de 100.000 milions de dòlars: continua liderant els DEX amb una quota de mercat del 38%. Aave va substituir SushiSwap com el grup de liquiditat més gran d’aquesta setmana, amb un valor total bloquejat de 1.52 milions de dòlars.

Categoria Estadístiques clau Import % De canvi setmanal
En general Valor total bloquejat (USD) 39.944 milions de dòlars 8%
Dominància del mercat (%) Creador (16%)
Préstecs Vol. Endeutament total. 7.223 milions de dòlars 13%
Dominància del mercat (%) Compost (55%)
DEX Mitjana setmanal vol de negociació. 2280 milions de dòlars -6%
Dominància del mercat (%) Uniswap (38%)
Rendiment agrícola El fons de liquiditat més gran Aave (1.520 milions de dòlars)

Aquesta setmana, tant el valor total bloquejat com els volums de préstecs han augmentat volums de negociació setmanals de DEX va caure un 6%. Font: DeFi Pulse i DeBank

L’atac de préstec flash més gran de DeFi

Tot i que els participants del mercat de DeFi es van manifestar sobre la fita de TVL de 40.000 milions de dòlars aquesta setmana, Alpha Finance va patir un atac de préstec flash que va provocar una pèrdua aproximada de 38 milions de dòlars. Això va superar els 34 milions de dòlars de Harvest Finance i es va convertir en l’atac de préstec flash més gran de la història relativament breu de DeFi.

L’equip Alpha Finance primer va declarar l’atac de préstec flash del 13 de febrer. L’equip va llançar un Post mortem l’endemà per compartir els detalls de l’explotació Alpha Homora V2.

El post-mortem va afirmar que l’atacant va llançar una explotació complexa que implica més de nou transaccions, que es va resumir en 13 passos. L’equip també va enumerar les següents llacunes del contracte intel·ligent Alpha Homora V2 que va fer possible l’explotació:

  1. HomoraBankv2 tenia un grup de sUSD que estava en preparació i no es va publicar públicament. El grup de sUSD no tenia liquiditat i l’atacant podia inflar tant l’import total del deute com la quota de deute total.
  2. La funció resolveReserve podria augmentar el deute total sense augmentar la quota de deute total. Aquesta funció la podria executar qualsevol usuari.
  3. Es va produir un error de càlcul arrodonit en el càlcul de la funció de préstec. Això només era aplicable quan l’atacant era l’únic prestatari.
  4. HomoraBankv2 va acceptar qualsevol encanteri personalitzat per part dels usuaris, ja que la quantitat de garantia és superior a l’import del préstec. (Un encanteri a Alpha Finance és similar a una estratègia a Yearn Finance.)

Per llançar el complex atac de préstec flash, primer l’atacant ha creat un encanteri a Alpha Homora V2. L’atacant va canviar ETH per sUSD a Uniswap i va dipositar sUSD al Iron Bank of Cream Finance. Per manipular l’agrupació de sUSD, l’atacant va demanar prestat 1.000e18 sUSD i va passar per alt la comprovació de seguretat dipositant el testimoni de fons de liquiditat d’UNI-WETH com a garantia. L’atacant va obtenir 1.000e18 accions de deute sUSD a canvi. L’atacant va aprofitar les primeres i quartes escletxes esmentades anteriorment per realitzar aquests passos.

Tot i que l’atacant era l’únic prestatari d’aquesta explotació d’Alfa Finance, van aprofitar el càlcul erroni de la funció de préstec amortitzar la quota de sUSD d’un menys que l’import total del deute. L’atacant llavors executat la funció resolveReserve al banc sUSD, que va generar un deute acumulat de 19.709 milions de sUSD, ja que la quota de deute total es va mantenir.

L’atacant va repetir els procediments anteriors 26 vegades i va duplicar l’import del préstec cada vegada. Com que cada endeutament era un menys que el valor total del deute, això va conduir a una quota de préstec corresponent de zero i el protocol no va poder reconèixer el deute. Després, l’atacant va obtenir préstecs instantanis d’Aave i va blanquejar els fons a Curve.

Reacció d’Alfa Finance

A l’hora d’escriure, l’atacant retingut 10.925 ETH a la direcció de la cartera. Mentre l’atacant ho té dipositat amb més de 10 milions de dòlars en stablecoins sota l’indicador de Curve, van retornar 1.000 ETH als desenvolupadors Alpha Homora V2 i Cream V2, respectivament. Una petita porció de l’ETH robada es va enviar a Tornado i Gitcoin Grant. L’equip Alpha calcula una pèrdua total de fons de 38 milions de dòlars.

L’equip Alpha va destacar que el préstec dels atacants era un deute entre les plataformes Alpha Homora V2 i Cream V2, cosa que significa que els fons dels usuaris no estaven implicats en aquest incident. L’equip d’Alfa Finance va fer les accions immediates següents per aturar l’explotació:

  • Va eliminar la funcionalitat de préstec i amortització de sUSD, evitant que els usuaris obrissin noves posicions apalancades.
  • Es va assegurar que només es podrien executar encanteris de la llista blanca.
  • Es va assegurar que només el governador podia executar el "resolveReserve" funció.
  • Es va posar en contacte amb diverses parts per fer una llista negra de l’adreça de l’atacant.

Tot i que els proveïdors de liquiditat no poden demanar préstecs a Alpha, encara poden afegir garanties, amortitzar el deute, tancar posicions i collir les seves fitxes de cultiu. Els prestadors d’Alfa Finance, en canvi, poden prestar i retirar actius, com és habitual.

Per mitigar l’impacte negatiu provocat pels usuaris d’Alpha Finance, l’equip s’associa amb el fundador de Yearn Finance, Andre Cronje, i l’equip de Cream Finance per resoldre el deute..

Com a solució a mig o llarg termini, l’equip d’Alfa Finance va continuar buscant auditors externs i desenvolupadors de confiança per revisar els seus contractes intel·ligents. L’equip també està plantejant llançar nous i creatius programes de recompensa d’errors per a altres protocols DeFi a seguir.

OKEx Insights presenta anàlisis de mercat, funcions en profunditat i notícies seleccionades de professionals de criptografia.

Promo
banner
Promo
banner