Пазарът на DeFi надхвърля 40 милиарда долара, тъй като Alpha Finance претърпява най-лошата атака с бързи заеми в историята
DeFi Digest на OKEx Insights е седмичен преглед на децентрализираната финансова индустрия.
Децентрализираният финансов пазар отново достигна нови върхове отзад на BTC, като достигна крайъгълен камък от 50 000 долара на световните борси. Общата стойност, заключена в продуктите на DeFi, за първи път надхвърли 40 милиарда долара на 12 февруари и отчете 8% седмична печалба.
Продължаващият ръст на пазара на DeFi е очевиден в сферата на кредитирането, където общият обем на заемите се е увеличил с 13% до 7,23 млрд. Долара. Compound доминира на пазара на заеми с 55% дял.
Средният седмичен обем на търговия на децентрализирани борси е спаднал леко до 2,28 млрд. Долара към момента на писането. Uniswap – което наскоро обработени кумулативен обем от над 100 милиарда долара – продължава да води DEX с 38% пазарен дял. Aave замени SushiSwap като най-големия ликвиден пул тази седмица, като общата му стойност беше заключена в размер на 1,52 млрд. Долара.
Категория | Основни статистически данни | Количество | Седмична% промяна |
Като цяло | Обща стойност заключена (щ.д.) | 39,94 млрд. Долара | 8% |
Доминиране на пазара (%) | Създател (16%) | ||
Кредитиране | Общо заеми об. | 7,23 милиарда долара | 13% |
Доминиране на пазара (%) | Съединение (55%) | ||
DEX | Ср. Седмично търговия об. | 2,28 милиарда долара | -6% |
Доминиране на пазара (%) | Размяна (38%) | ||
Добив земеделие | Най-голям пул на ликвидност | Aave (1,52 млрд. Долара) |
Тази седмица, както общата заключена стойност, така и обемите на заемите нараснаха, докато седмични обеми на търговия с DEX спадна с 6%. Източник: DeFi Pulse и DeBank
Най-голямата атака на DeFi с бърз заем
Докато участниците на пазара на DeFi бяха хипнотизирани около 40 млрд. Долара TVL тази седмица, Alpha Finance претърпя бърза атака на заем, която доведе до приблизителна загуба от 38 милиона долара. Това надмина хака на Harvest Finance от 34 милиона долара и се превърна в най-голямата атака с бързи заеми в относително кратката история на DeFi.
Първо екипът на Alpha Finance деклариран атаката на флаш заема на 13 февруари. Екипът пусна a посмъртно на следващия ден, за да споделите подробности за експлоатацията на Alpha Homora V2.
Посмъртният изследовател заяви, че нападателят е предприел сложен експлойт, включващ повече от девет транзакции, който е обобщен в 13 стъпки. Екипът изброи и следните вратички в интелигентния договор Alpha Homora V2, които направиха възможен експлойт:
- HomoraBankv2 имаше sUSD пул, който беше в процес на подготовка и не беше публично пуснат. Пулът sUSD нямаше ликвидност и нападателят можеше да надуе общата сума на дълга и общия дял на дълга.
- Функцията resolReserve може да увеличи общия дълг, без да увеличава общия дял на дълга. Тази функция може да бъде изпълнена от всеки потребител.
- При изчисляването на функцията за заем имаше грешка при закръгляване. Това беше приложимо само когато нападателят беше единственият кредитополучател.
- HomoraBankv2 приема всякакви персонализирани заклинания от потребителите, като се има предвид, че размерът на обезпечението е по-голям от сумата на заемите. (Заклинанието в Alpha Finance прилича на стратегия в Yearn Finance.)
За да стартирате сложната атака с бърз заем, нападателят първо създаде заклинание в Alpha Homora V2. След това нападателят замени ETH с sUSD на Uniswap и депозира sUSD в Iron Bank of Cream Finance. За да манипулира пула sUSD, нападателят взе назаем 1000e18 sUSD и заобиколи проверката за сигурност от депозиране токена на ликвидния пул на UNI-WETH като обезпечение. Нападателят получи 1000e18 sUSD дългови акции в замяна. За извършване на тези стъпки нападателят използва първата и четвъртата вратичка, споменати по-рано.
Докато нападателят беше единственият кредитополучател в тази експлоатация на Alpha Finance, те се възползваха от закръгления грешки при изчисляването на функцията за заем от погасяване делът на sUSD за един по-малък от общата сума на заемите. Тогава нападателят изпълнен функцията resolReserve за банката sUSD, което води до натрупан дълг от 19 709 милиарда USD, тъй като общият дял на дълга остава един.
Нападателят повтори горните процедури 26 пъти и удвои заетата сума всеки път. Тъй като всяко заемане беше с едно по-малко от общата стойност на дълга, това доведе до нулев дял на съответния заем и протоколът не можа да разпознае заемането. След това нападателят получи флаш заеми от Aave и изми средствата в Curve.
Реакцията на Alpha Finance
Към момента на писане на нападателя Държани 10 925 ETH на адреса на портфейла им. Докато нападателят има депозиран над 10 милиона щатски долара стабилни монети под кривата на Curve, те върнаха 1000 ETH съответно на разработчиците Alpha Homora V2 и Cream V2. Малка част от откраднатия ETH е изпратена до Tornado и Gitcoin Grant. Екипът на Alpha изчислява обща загуба на фонд от 38 милиона долара.
Екипът на Alpha подчерта, че заемането от нападатели е дълг между платформите Alpha Homora V2 и Cream V2, което означава, че средствата на потребителите не са замесени в този инцидент. Екипът на Alpha Finance предприе следните незабавни действия, за да спре експлоата:
- Той премахна функцията за заемане и изплащане на sUSD, като попречи на потребителите да отварят нови позиции с лостове.
- Той гарантираше, че могат да се изпълняват само заклинания от белия списък.
- Той гарантира, че само управителят може да изпълни "разрешениеReserve" функция.
- Той се свърза с различни страни, за да постави в черния списък адреса на нападателя.
Докато доставчиците на ликвидност не могат да заемат в Alpha, те все още могат да добавят обезпечение, да изплащат дълг, да затварят позиции и да събират отглежданите от тях токени. Кредиторите в Alpha Finance, от друга страна, могат да заемат и теглят активи, както обикновено.
За да смекчи негативното въздействие, донесено на потребителите на Alpha Finance, екипът си партнира с основателя на Yearn Finance Андре Кроне и екипа на Cream Finance за разрешаване на дълга.
Като средносрочно до дългосрочно решение екипът на Alpha Finance продължи да търси външни одитори и доверени разработчици, които да преразгледат своите интелигентни договори. Екипът обмисля също да стартира нови и креативни програми за награди за грешки за други протоколи DeFi, които да следват.
OKEx Insights представя пазарни анализи, задълбочени функции и подбрани новини от крипто професионалисти.