L’atac de préstec instantani ValueDeFi posa de manifest la manca crítica de diligència deguda a DeFi

DeFi Digest d’OKEx Insights és un examen setmanal de la indústria financera descentralitzada.

Instantània del mercat DeFi

El mercat de les finances descentralitzades va mantenir el seu impuls alcista aquesta setmana, ja que el valor total bloquejat en els productes DeFi va augmentar lleugerament de 13.655 milions a 1380 milions de dòlars.. 

El mercat de préstecs descentralitzats va créixer un 8% aquesta setmana, ja que el volum total d’endeutament va arribar als 3.09 milions de dòlars. Beneficiant-se del creixement, Maker va substituir Uniswap com a líder global de DeFi, amb un nivell de dominància del mercat del 17%. Compound, per la seva banda, va mantenir el domini del mercat en l’àmbit creditici, amb una quota del 55%.

El volum mitjà setmanal de negociació d’intercanvis descentralitzats va augmentar un 20% i va arribar als 0.53 milions de dòlars aquesta setmana. Tot i que Uniswap va mantenir la seva dominància en el volum de negociació del 37%, la seva posició com a principal grup de liquiditat va ser substituïda pel seu principal competidor, SushiSwap.

El volum de negociació setmanal de DEX va créixer un 20%. Font: Pols DeFi i DeBank

Els atacs de préstec Flash resulten problemàtics per a DeFi

Els atacs de préstecs flash s’han convertit en un mal de cap per a la comunitat DeFi, ja que ValueDeFi es va convertir en la cinquena víctima en només tres setmanes. Després de la pèrdua de 34 milions de dòlars per part de Harvest Finance, hi ha hagut explotacions de préstecs instantanis d’Akropolis, Origin Protocol i Cheese Bank, amb una pèrdua de 2 milions de dòlars, 7 milions de dòlars i 3,3 milions de dòlars, respectivament.

ValueDeFi va patir un exploit de préstec flash de 6 milions de dòlars el 14 de novembre. Segons Emiliano Bonassi, un hacker de barrets blancs autodescrit, l’explotació de préstec flash del protocol ValueDeFi era més complex que els atacs anteriors, ja que es van utilitzar dos préstecs flash. Els hackers van treure un préstec flash de 80.000 ETH – per valor de més de 36 milions de dòlars – i un préstec instantani de 116 milions de dòlars en DAI d’Uniswap per explotar el protocol ValueDeFi, resultant en una pèrdua neta de 6 milions de dòlars.. 

Els passos detallats de l’atac es van il·lustrar al compte de Twitter de Bonassi:

Els hackers van utilitzar dos préstecs flash a Aave i Uniswap per explotar el protocol ValueDeFi. Font: Twitter / @emilianobonassi

Segons un anàlisi dirigit per la firma d’auditoria PeckShield, la causa principal de l’explotació del protocol ValueDeFi va ser un error "MultiStablesVaults," que utilitza Curve per mesurar el preu de l’actiu. A causa de l’error, els pirates informàtics van poder utilitzar préstecs flash per manipular el preu de les fitxes 3crv. Després d’això, podrien cremar les fitxes encunyades de la piscina per canviar una quota desproporcionada de 33,08 milions de fitxes 3crv, en lloc dels 24,95 milions normals. Els pirates informàtics van canviar les fitxes 3crv per DAI, cosa que va provocar una pèrdua de 7,4 milions de dòlars en DAI. (Els pirates informàtics, però, van retornar 2 milions de dòlars als principals desenvolupadors de ValueDeFi).

Accions de reparació de ValueDeFi

L’equip de ValueDeFi va publicar un fitxer anàlisi post-mortem que descriu remeis immediats i plans a mitjà termini per evitar aquests atacs de préstec instantani.


Com a primer pas, s’han aturat els dipòsits a la volta de MultiStables. Per calcular la quantitat exacta de compensació, l’equip ha pres instantànies del saldo de cada usuari abans de l’atac. L’equip també planeja llançar una segona versió del magatzem de MultiStables. Abans del llançament, la segona volta serà auditada per auditors públics i desenvolupadors de Solidity públics.

En comparació amb la primera versió de la volta, la segona versió utilitza feeds de preus de Chainlink per millorar la qualitat de les dades, proporcionar seguretat oracle i subministrar preus precisos dels actius. L’ús d’oracles de preus redueix l’exposició a distorsions temporals de preus induïdes per préstecs instantanis quan el protocol ValueDeFi extreu dades de les agrupacions de liquiditat en cadena de Curve o d’altres feeds de preus generats en cadena. A més, atès que els fluxos de preus de Chainlink no s’actualitzen simultàniament en diverses transaccions, els préstecs flash no tenen capacitat per manipular el preu, ja que només existeixen dins d’una única transacció..

L’equip crearà un fons de compensació basat en fons de desenvolupadors, un fons d’assegurances i una part de les comissions recaptades pel protocol. Per compensar els usuaris per la manca d’accés al seu capital, l’equip ha creat tokens IOU per representar els fons que no s’han retornat als usuaris. Els tokens IOU tenen una inflació incorporada que acumularà automàticament un 10% de rendiment anual cada setmana.

L’equip també ha seguit buscant una solució amb els pirates informàtics. Per exemple, això proposat una distribució DAI d’un milió com a recompensa i va sol·licitar als pirates informàtics que retornessin la resta de fons als usuaris afectats. Els pirates informàtics encara no han respost a aquesta sol·licitud.

Lliçons doloroses

Les recents gestions de préstecs flash dels protocols DeFi van tornar a exposar una manca de comprensió de la mecànica DeFi entre alguns participants del mercat. A l’explotació del protocol ValueDeFi, s’auto-descriu infermera i un jove de 19 anys autodescrit estudiant va perdre 100.000 i 200.000 dòlars, respectivament. Tot i que els pirates informàtics van retornar 50.000 DAI i 45.000 DAI a la infermera i l’estudiant, respectivament, van advertir els usuaris sobre els riscos associats al seu desconeixement i precaució..

Els pirates informàtics del protocol ValueDeFi van advertir els usuaris sobre els riscos d’invertir en protocols d’agricultura de rendiment. Font: Etherscan

Els exemples esmentats il·lustren com alguns participants de DeFi només consideren els rendiments actuals dels protocols de cultiu de rendiments sense reconèixer els riscos inherents als contractes intel·ligents. Fins i tot l’equip de ValueDeFi va reiterar que sempre hi ha un element de risc a l’hora d’invertir en protocols DeFi.

Amb el desplegament de nous protocols DeFi cada vegada més complexos, és probable que els riscos d’invertir en aquests protocols només augmentin.

OKEx Insights presenta anàlisis de mercat, característiques detallades, investigacions originals & notícies de professionals de criptografia.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map