Der ValueDeFi-Flash-Loan-Angriff zeigt einen kritischen Mangel an Due Diligence in DeFi

Der DeFi Digest von OKEx Insights ist eine wöchentliche Untersuchung der dezentralen Finanzbranche.

DeFi-Marktschnappschuss

Der dezentrale Finanzmarkt behielt diese Woche seine positive Dynamik bei, da der Gesamtwert der DeFi-Produkte leicht von 13,65 Mrd. USD auf 13,80 Mrd. USD stieg. 

Der dezentrale Kreditmarkt wuchs diese Woche um 8%, da das gesamte Kreditvolumen 3,09 Mrd. USD erreichte. Maker profitierte vom Wachstum und ersetzte Uniswap als DeFi-Marktführer mit einer Marktdominanz von 17%. Compound behielt unterdessen seine Marktbeherrschung im Kreditbereich mit einem Anteil von 55% bei.

Das wöchentliche durchschnittliche Handelsvolumen der dezentralen Börsen stieg um 20% und erreichte diese Woche 0,53 Mrd. USD. Während Uniswap seine Handelsvolumendominanz von 37% beibehielt, wurde seine Position als größter Liquiditätspool durch seinen Hauptkonkurrenten SushiSwap ersetzt.

Das wöchentliche Handelsvolumen von DEXs stieg um 20%. Quelle: DeFi Pulse und DeBank

Flash-Loan-Angriffe erweisen sich für DeFi als problematisch

Flash-Kredit-Angriffe sind für die DeFi-Community zu Kopfschmerzen geworden, da der Ertragsaggregator ValueDeFi das fünfte Opfer in nur drei Wochen wurde. Nach dem Verlust von 34 Millionen US-Dollar durch Harvest Finance gab es Flash-Loan-Exploits von Akropolis, Origin Protocol und Cheese Bank mit einem Verlust von 2 Millionen Dollar, 7 Millionen Dollar und 3,3 Millionen US-Dollar, beziehungsweise.

ValueDeFi litt am 14. November unter einem Flash-Kredit-Exploit in Höhe von 6 Millionen US-Dollar. Laut Emiliano Bonassi, einem selbst beschriebenen White-Hat-Hacker, war der Flash-Kredit-Exploit im ValueDeFi-Protokoll komplexer als frühere Angriffe, da zwei Flash-Kredite verwendet wurden. Hacker haben einen herausgenommen Flash-Darlehen von 80.000 ETH – im Wert von über 36 Millionen US-Dollar – und ein Flash-Darlehen in Höhe von 116 Millionen US-Dollar in DAI von Uniswap zur Nutzung des ValueDeFi-Protokolls, was zu einem Nettoverlust von 6 Millionen US-Dollar führt. 

Die detaillierten Schritte für den Angriff wurden auf Bonassis Twitter-Account dargestellt:

Hacker nutzten zwei Flash-Kredite für Aave und Uniswap, um das ValueDeFi-Protokoll auszunutzen. Quelle: Twitter / @emilianobonassi

Nach einem Analyse Die von der Wirtschaftsprüfungsgesellschaft PeckShield durchgeführte Hauptursache für den ValueDeFi-Protokoll-Exploit war ein Fehler "MultiStablesVaults," Hiermit wird Curve verwendet, um den Vermögenspreis zu messen. Aufgrund des Fehlers konnten Hacker Flash-Kredite verwenden, um den Preis von 3crv-Token zu manipulieren. Danach konnten sie die geprägten Token aus dem Pool verbrennen, um einen unverhältnismäßigen Anteil von 33,08 Millionen 3crv-Token anstelle der normalen 24,95 Millionen einzulösen. Hacker lösten dann die 3crv-Token für DAI ein, was zu einem Verlust von 7,4 Millionen US-Dollar bei DAI führte. (Die Hacker haben jedoch 2 Millionen US-Dollar an die Kernentwickler von ValueDeFi zurückgegeben.)

Abhilfemaßnahmen von ValueDeFi

Das ValueDeFi-Team veröffentlichte a Post-Mortem-Analyse Darin werden sofortige Abhilfemaßnahmen und mittelfristige Pläne zur Verhinderung solcher Flash-Loan-Angriffe beschrieben.

In einem ersten Schritt wurden die Einzahlungen im MultiStables-Tresor gestoppt. Um die genaue Höhe der Entschädigung zu berechnen, hat das Team vor dem Angriff Schnappschüsse des Guthabens jedes Benutzers erstellt. Das Team plant außerdem die Veröffentlichung einer zweiten Version des MultiStables-Tresors. Vor der Veröffentlichung wird der zweite Tresor von öffentlichen Prüfern und öffentlichen Solidity-Entwicklern geprüft.

Im Vergleich zur ersten Version des Tresors die zweite Version verwendet Chainlink-Preis-Feeds um die Datenqualität zu verbessern, Orakelsicherheit zu bieten und genaue Preise für Vermögenswerte zu liefern. Die Verwendung von Preisorakeln verringert das Risiko vorübergehender durch Flash-Kredite verursachter Preisverzerrungen, wenn das ValueDeFi-Protokoll Daten aus den On-Chain-Liquiditätspools von Curve oder anderen von der On-Chain generierten Preis-Feeds extrahiert. Da Chainlink-Preis-Feeds nicht über mehrere Transaktionen gleichzeitig aktualisiert werden, können Flash-Kredite den Preis nicht manipulieren, da sie nur innerhalb einer einzelnen Transaktion existieren.

Das Team wird einen Vergütungsfonds auf der Grundlage von Entwicklerfonds, eines Versicherungsfonds und eines Teils der vom Protokoll erhobenen Gebühren einrichten. Um die Benutzer für den fehlenden Zugang zu ihrem Kapital zu entschädigen, hat das Team IOU-Token erstellt, um die Gelder darzustellen, die nicht an die Benutzer zurückgegeben wurden. Die IOU-Token verfügen über eine integrierte Inflation, die automatisch jede Woche eine jährliche prozentuale Rendite von 10% erzielt.

Das Team hat auch weiterhin nach einer Lösung mit den Hackern gesucht. Zum Beispiel es vorgeschlagen eine 1-Millionen-DAI-Verteilung als Kopfgeld und forderte Hacker auf, die verbleibenden Mittel an die betroffenen Benutzer zurückzugeben. Hacker haben auf diese Anfrage noch nicht geantwortet.

Schmerzhafter Unterricht

Die jüngsten Flash-Loan-Exploits bei DeFi-Protokollen haben erneut gezeigt, dass einige Marktteilnehmer kein Verständnis für die DeFi-Mechanik haben. Im ValueDeFi-Protokoll wird ein selbst beschriebener Exploit verwendet Krankenschwester und ein selbst beschriebener 19-jähriger Schüler verlor 100.000 USD bzw. 200.000 USD. Während Hacker der Krankenschwester und dem Studenten 50.000 DAI bzw. 45.000 DAI zurückgaben, warnten sie die Benutzer vor den Risiken, die mit ihrem Mangel an Wissen und Vorsicht verbunden sind.

Hacker im ValueDeFi-Protokoll-Exploit warnten Benutzer vor den Risiken einer Investition in Yield-Farming-Protokolle. Quelle: Etherscan

Die oben genannten Beispiele veranschaulichen, wie einige DeFi-Teilnehmer nur die aktuellen Erträge aus Ertragsprotokollen berücksichtigen, ohne die mit intelligenten Verträgen verbundenen Risiken zu berücksichtigen. Sogar das ValueDeFi-Team bekräftigte, dass bei der Investition in DeFi-Protokolle immer ein gewisses Risiko besteht.

Da die Bereitstellung neuer DeFi-Protokolle immer komplexer wird, wird das Risiko einer Investition in diese Protokolle wahrscheinlich nur noch zunehmen.

OKEx Insights präsentiert Marktanalysen, detaillierte Funktionen und originelle Forschungsergebnisse & kuratierte Nachrichten von Krypto-Profis.

Promo
banner
Promo
banner