Els atacs de préstecs instantanis causen pèrdues de 34 milions de dòlars, però es poden aturar?

DeFi Digest d’OKEx Insights és un examen setmanal de la indústria financera descentralitzada.

El mercat financer descentralitzat va registrar una lleugera caiguda la setmana passada, ja que el valor total bloquejat en els productes DeFi va caure de 12.38 milions a 11.04 milions de dòlars. 

Uniswap va mantenir la seva posició com a líder del mercat amb una quota de mercat del 24% del valor total en dòlars bloquejat. L’intercanvi descentralitzat també tenia el fons de liquiditat més gran i mantenia la dominància del volum de negociació del 65%. 

Impulsat pel pirateig de 34 milions de dòlars de Harvest Finance, el volum d’operacions de DEX va arribar als 3.400 milions de dòlars el 26 d’octubre.

En l’àmbit dels préstecs descentralitzats, Compound va continuar liderant, amb una quota de mercat del 54%.

El valor total bloquejat a DeFi va caure mentre explotava el volum setmanal de DEX després del hack de Harvest Finance. Fonts: Pols DeFi i DeBank

El testimoni KP3R de Keep3r Network manté viu el bombo de DeFi

Tot i la lleugera caiguda del valor total bloquejat, el bombo al mercat DeFi es va mantenir viu després del llançament d’un nou testimoni d’Andre Cronje. El fundador yearn.finance va anunciar KP3R, el testimoni del seu últim projecte – És a dir, Keep3r Network, un mercat descentralitzat per a feines tècniques. 

De manera similar als seus projectes anteriors, com eminence.finance, Cronje va destacar que keep3r.network encara està en fase de prova beta. No obstant això, els participants del mercat estaven entusiasmats amb l’últim protocol de Cronje i KP3R es va disparar de 25 a 350 dòlars a Uniswap a les poques hores del llançament. 

L’atac de préstec instantani de Harvest Finance, de 34 milions de dòlars

A l’altra banda de l’esfera DeFi, les vulnerabilitats de seguretat dels protocols DeFi continuen sent una preocupació després que Harvest Finance perdés 34 milions de dòlars.

Harvest Finance és una plataforma de producció agrícola que proporciona serveis de seguiment APY, desenvolupament d’estratègies i control de costos de gas per als agricultors. El protocol va perdre 34 milions de dòlars per atacs de préstec flash el 26 d’octubre i el seu valor total es va bloquejar es va submergir en més del 60%.

Què és un préstec flash?

Un préstec instantani és una innovació de finançament descentralitzada iniciada pel protocol de préstecs DeFi Aave al gener. El producte permet als usuaris demanar préstecs sense aportar cap garantia. Un préstec instantani no realitza cap comprovació de crèdit als prestataris. 

Els préstecs Flash han guanyat popularitat entre els arbitratges, ja que poden dur a terme els següents passos per obtenir beneficis ràpids:

  1. Prendre préstecs.
  2. Utilitzeu préstecs per comprar fitxes a un preu inferior en un DEX.
  3. Reveneu les mateixes fitxes a un preu més alt en un altre DEX.
  4. Reemborsar el préstec i els interessos.
  5. Mantingueu els beneficis.

Les accions esmentades es realitzen dins de la mateixa transacció en cadena. Per realitzar aquestes transaccions, l’arbitratge ha de codificar tots els passos del contracte intel·ligent per endavant. Si el prestatari no pot pagar el préstec a temps, no s’executarà cap de les transaccions. (Això és coherent amb el transaccions atòmiques a Ethereum: si una de les transaccions encadenades ha fallat, la cadena es trenca i l’acord codificat en el contracte intel·ligent no es compleix. Per tant, les transaccions del contracte intel·ligent no s’executaran.)

Què va passar amb Harvest Finance?

Tot i que els préstecs flash proporcionen una nova font de beneficis en l’àmbit de les finances descentralitzades, els actors malintencionats intenten utilitzar fons prestats per manipular el mercat DeFi, conegut com a atacs de préstecs flash..

En el cas de Harvest Finance, els pirates informàtics ho van prendre una sèrie d’accions per obtenir beneficis d’arbitratge i manipular el mercat DeFi:

  1. Els pirates informàtics van obtenir per primera vegada 50 milions de USDC i 18,3 milions de USDT de préstecs instantanis d’Uniswap.
  2. Els pirates informàtics van convertir 17.222 milions de USDT en USDC mitjançant Y piscina, un fons de liquiditat a Curve Finance. La conversió massiva d’USD a USDC va augmentar el preu de l’USD i la quantitat d’USD convertits va ser de només 17.216 milions.
  3. Els pirates informàtics van depositar 49,97 milions de dòlars nord-americans a la volta USDC de Harvest Finance i van rebre 51,46 milions de fUSDC. Després del dipòsit, el preu de l’USDC per acció va disminuir un 1% (de 0,98 a 0,971). Com que el canvi de valor no va superar el llindar del 3%, les transaccions es van executar i no es van revertir.
  4. Els pirates informàtics van convertir tots els fUSDC en USDC amb un benefici de 619.000 USDC. Després, van repetir la mateixa transacció diverses vegades per obtenir beneficis ràpids.
  5. Els pirates informàtics van transferir 13 milions de USDC i 11 milions de USDT a les seves adreces. Després, van transferir 1,76 milions de USDC i 718.000 USDT a l’equip de Harvest Finance.

Segons l’equip de Harvest Finance, els preus de les accions de la volta USDC i USDT van caure un 13,8% i un 13,7%, respectivament, combinant-se amb una pèrdua total de 34 milions de dòlars. L’equip va destacar que els atacants van explotar l’efecte de pèrdues impermanents a la piscina Y de Curve. Els atacants van dipositar fons a la volta de Harvest Finance a un preu beneficiós i van sortir de la volta a un preu normal de les accions per capturar beneficis. Per a les pèrdues dels usuaris, l’equip de Harvest Finance va distribuir els fons retornats a les víctimes i va llançar una recompensa de 100.000 dòlars per a aquells que podrien ajudar a retornar els fons.

Mentrestant, Uniswap va assolir un volum de negociació històric alt de 2.190 milions de dòlars. Corba també superat 2.000 milions de dòlars en volum de negociació. Això es deu probablement als pirates informàtics de Harvest Finance que utilitzen aquests creadors de mercats automatitzats per transferir els seus fons.

El volum diari a Uniswap va assolir el màxim històric després del pirata de Harvest Finance. Font: Uniswap

Es poden aturar els atacs de préstec instantani?

L’equip de Harvest Finance va identificar algunes possibles solucions per evitar atacs de préstecs instantanis. El primer és implementar un mecanisme de compromís i revelació de dipòsits. Aquest mecanisme faria inviable els atacs de préstecs instantanis en desactivar els dipòsits i les retirades de la mateixa transacció. Per als usuaris, això significa que els dipòsits i les retirades es registren en diferents transaccions, i per això pagarien comissions de gas una mica més altes. L’equip també planeja establir un llindar més baix per a una comprovació més rigorosa de l’arbitratge de dipòsits, cosa que augmenta els costos econòmics per llançar atacs de préstecs instantanis.

Per millorar el descobriment de preus, alguns protocols DeFi poden utilitzar oracles de preus externs, com ara Chainlink o Maker. Tot i això, si el preu dels actius del protocol DeFi és diferent de l’oracle, el magatzem d’actius es pot exposar a atacs d’arbitratge i préstecs instantanis. L’equip de Harvest Finance creu que els oracles de blockchain no són una solució per a ells a causa del disseny del sistema.

OKEx Insights presenta anàlisis de mercat, característiques detallades, investigacions originals & notícies de professionals de criptografia.

Promo
banner
Promo
banner