Der DeFi-Markt übersteigt 40 Milliarden US-Dollar, da Alpha Finance den schlimmsten Flash-Kreditangriff in der Geschichte erleidet

Der DeFi Digest von OKEx Insights ist eine wöchentliche Untersuchung der dezentralen Finanzbranche.

DeFi Digest Bild

Der dezentrale Finanzmarkt erreichte erneut neue Höchststände, nachdem BTC den Meilenstein von 50.000 US-Dollar an den weltweiten Börsen erreicht hatte. Der in DeFi-Produkten festgelegte Gesamtwert überschritt am 12. Februar erstmals 40 Milliarden US-Dollar und verzeichnete einen wöchentlichen Gewinn von 8%.

Der anhaltende Anstieg des DeFi-Marktes war im Kreditbereich zu beobachten, wo das Gesamtkreditvolumen um 13% auf 7,23 Mrd. USD stieg. Compound dominierte den Kreditmarkt mit einem Anteil von 55%.

Das wöchentliche durchschnittliche Handelsvolumen der dezentralen Börsen ging zum Zeitpunkt dieser Veröffentlichung leicht auf 2,28 Mrd. USD zurück. Uniswap – was vor kurzem verarbeitet Ein kumuliertes Volumen von über 100 Milliarden US-Dollar – führt weiterhin DEXs mit einem Marktanteil von 38% an. Aave ersetzte SushiSwap diese Woche als größten Liquiditätspool mit einem gesperrten Gesamtwert von 1,52 Milliarden US-Dollar.

Kategorie Wichtige Statistiken Menge Wöchentliche prozentuale Änderung
Insgesamt Gesamtwert gesperrt (USD) 39,94 Milliarden US-Dollar 8%
Marktbeherrschung (%) Hersteller (16%)
Ausleihe Gesamtaufnahme vol. 7,23 Milliarden US-Dollar 13%
Marktbeherrschung (%) Verbindung (55%)
DEXs Wöchentlicher Durchschn. Handelsvolumen vol. 2,28 Milliarden US-Dollar -6%
Marktbeherrschung (%) Uniswap (38%)
Ertragslandwirtschaft Größter Liquiditätspool Aave (1,52 Milliarden US-Dollar)

Diese Woche stiegen sowohl der Gesamtwert als auch das Kreditvolumen wöchentliches DEX-Handelsvolumen fiel um 6%. Quelle: DeFi Pulse und DeBank

DeFis größter Flash-Kredit-Angriff

Während die DeFi-Marktteilnehmer diese Woche über den TVL-Meilenstein von 40 Milliarden US-Dollar hochgespielt wurden, erlitt Alpha Finance einen Flash-Kreditangriff, der zu einem ungefähren Verlust von 38 Millionen US-Dollar führte. Dies übertraf den Hack von Harvest Finance in Höhe von 34 Millionen US-Dollar und wurde zum größten Flash-Kreditangriff in der relativ kurzen Geschichte von DeFi.

Das Alpha Finance-Team zuerst erklärt der Flash-Kredit-Angriff am 13. Februar. Das Team veröffentlichte eine post mortem am nächsten Tag, um die Details des Alpha Homora V2-Exploits zu teilen.

In der Obduktion wurde festgestellt, dass der Angreifer einen komplexen Exploit mit mehr als neun Transaktionen gestartet hat, der in 13 Schritten zusammengefasst wurde. Das Team listete außerdem die folgenden Lücken im Alpha Homora V2-Smart-Vertrag auf, die den Exploit ermöglichten:

  1. HomoraBankv2 hatte einen sUSD-Pool, der in Vorbereitung war und nicht öffentlich veröffentlicht wurde. Der sUSD-Pool hatte keine Liquidität und der Angreifer konnte sowohl den Gesamtschuldenbetrag als auch den Gesamtschuldenanteil aufblasen.
  2. Die Funktion resolveReserve kann die Gesamtverschuldung erhöhen, ohne den Gesamtschuldenanteil zu erhöhen. Diese Funktion kann von jedem Benutzer ausgeführt werden.
  3. Bei der Berechnung der Ausleihfunktion gab es eine Rundungsfehlberechnung. Dies galt nur, wenn der Angreifer der einzige Kreditnehmer war.
  4. HomoraBankv2 akzeptierte alle benutzerdefinierten Zaubersprüche von Benutzern, da der Betrag der Sicherheiten größer ist als der Kreditbetrag. (Ein Zauber in Alpha Finance ähnelt einer Strategie in Yearn Finance.)

Um den komplexen Flash-Kredit-Angriff zu starten, muss der Angreifer zuerst hat einen Zauber erschaffen in Alpha Homora V2. Der Angreifer tauschte dann die ETH gegen sUSD auf Uniswap und hinterlegte sUSD bei der Iron Bank of Cream Finance. Um den sUSD-Pool zu manipulieren, hat der Angreifer 1.000e18 sUSD ausgeliehen und die Sicherheitsüberprüfung umgangen Einzahlung das Liquiditätspool-Token von UNI-WETH als Sicherheit. Der Angreifer erhielt im Gegenzug 1.000e18 sUSD-Schuldtitel. Der Angreifer nutzte die zuvor erwähnten ersten und vierten Lücken, um diese Schritte auszuführen.

Während der Angreifer der einzige Kreditnehmer in diesem Alpha Finance-Exploit war, nutzten sie die Rundungsfehlkalkulation in der Kreditfunktion von Rückzahlung der sUSD-Anteil von eins weniger als der gesamte Kreditbetrag. Der Angreifer dann hingerichtet Die Funktion “ResolveReserve” für die SUSD-Bank führte zu einer aufgelaufenen Verschuldung von 19.709 Milliarden SUSD, da der Gesamtschuldenanteil eins blieb.

Der Angreifer wiederholte die obigen Vorgänge 26 Mal und verdoppelte jedes Mal den geliehenen Betrag. Da jede Kreditaufnahme um eins unter dem Gesamtschuldenwert lag, führte dies zu einem entsprechenden Kreditanteil von Null, und das Protokoll konnte die Kreditaufnahme nicht erkennen. Der Angreifer erhielt dann Flash-Kredite von Aave und wusch die Gelder in Curve.

Reaktion von Alpha Finance

Zum Zeitpunkt des Schreibens war der Angreifer gehaltenen 10.925 ETH in ihrer Brieftaschenadresse. Während der Angreifer hat hinterlegt Mit Stablecoins im Wert von über 10 Millionen US-Dollar gaben Curve 1.000 ETH an die Entwickler von Alpha Homora V2 bzw. Cream V2 zurück. Ein winziger Teil der gestohlenen ETH wurde an Tornado und Gitcoin Grant geschickt. Das Alpha-Team schätzte den Gesamtverlust des Fonds auf 38 Millionen US-Dollar.

Das Alpha-Team betonte, dass das Ausleihen von Angreifern eine Schuld zwischen den Plattformen Alpha Homora V2 und Cream V2 sei, was bedeutet, dass die Gelder der Benutzer nicht an diesem Vorfall beteiligt waren. Das Alpha Finance-Team hat die folgenden Sofortmaßnahmen ergriffen, um den Exploit zu stoppen:

  • Die Ausleih- und Rückzahlungsfunktion von sUSD wurde entfernt, sodass Benutzer keine neuen Hebelpositionen eröffnen konnten.
  • Es wurde sichergestellt, dass nur Zaubersprüche auf der weißen Liste ausgeführt werden konnten.
  • Es stellte sicher, dass nur der Gouverneur das ausführen konnte "resolveReserve" Funktion.
  • Es kontaktierte verschiedene Parteien, um die Adresse des Angreifers auf die schwarze Liste zu setzen.

Während Liquiditätsanbieter in Alpha keine Kredite aufnehmen können, können sie dennoch Sicherheiten hinzufügen, Schulden zurückzahlen, Positionen schließen und ihre gezüchteten Token ernten. Kreditgeber in Alpha Finance hingegen können wie gewohnt Vermögenswerte verleihen und abheben.

Um die negativen Auswirkungen auf die Benutzer von Alpha Finance abzumildern, arbeitet das Team mit dem Gründer von Yearn Finance, Andre Cronje, und dem Cream Finance-Team zusammen, um die Schulden zu lösen.

Als mittel- bis langfristige Lösung suchte das Alpha Finance-Team weiterhin externe Prüfer und vertrauenswürdige Entwickler, um ihre intelligenten Verträge zu überprüfen. Das Team erwägt außerdem, neue und kreative Bug-Bounty-Programme für andere DeFi-Protokolle zu starten.

OKEx Insights präsentiert Marktanalysen, detaillierte Funktionen und kuratierte Nachrichten von Krypto-Profis.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me

Our Socials
Facebooktwitter
Promo
banner
Promo
banner