Атаката с флаш заем ValueDeFi разкрива критичната липса на надлежна проверка в DeFi
DeFi Digest на OKEx Insights е седмичен преглед на децентрализираната финансова индустрия.
Снимка на пазара на DeFi
Децентрализираният финансов пазар запази своя възходящ инерция тази седмица, тъй като общата стойност, заключена в продуктите на DeFi, нарасна леко от 13,65 млрд. Долара на 13,80 млрд. Долара.
Пазарът на децентрализирано кредитиране нарасна с 8% тази седмица, тъй като общият обем на заемите достигна 3,09 млрд. Долара. Възползвайки се от растежа, Maker замени Uniswap като цялостен лидер на DeFi, с ниво на доминиране на пазара от 17%. Междувременно Compound запази своето пазарно господство в сферата на кредитирането с 55% дял.
Средният седмичен обем на търговия на децентрализирани борси се е увеличил с 20% и е достигнал 0,53 млрд. Долара тази седмица. Докато Uniswap запази доминиращия си обем на търговия от 37%, позицията му като най-големия ликвиден пул беше заменена от основния си конкурент SushiSwap.
Седмичният обем на търговия с DEX нарасна с 20%. Източник: DeFi Pulse и DeBank
Атаките с Flash заем се оказват проблематични за DeFi
Атаките с Flash заем се превърнаха в главоболие за общността DeFi, тъй като агрегаторът на доходност ValueDeFi стана петата жертва само за три седмици. След загубата от Harvest Finance на стойност 34 милиона щатски долара има експлоати с бързи заеми на Akropolis, Origin Protocol и Cheese Bank, със загуба на 2 милиона долара, 7 милиона долара и 3,3 милиона долара, съответно.
ValueDeFi пострада от експлойт на 6 милиона щатски долара на 14 ноември. Според Емилиано Бонаси, самоописан хакер на бялата шапка, експлоатацията на флаш-заема по протокола ValueDeFi е по-сложни от предишните атаки, тъй като бяха използвани два бързи кредита. Хакерите извадиха a флаш заем от 80 000 ETH – на стойност над 36 милиона щатски долара – и 116 милиона щатски долара заем в DAI от Uniswap за използване на ValueDeFi протокола, което води до нетна загуба от 6 милиона долара.
Подробните стъпки за атаката са илюстрирани в акаунта на Bonassi в Twitter:
Хакерите използваха два бързи заеми на Aave и Uniswap, за да използват протокола ValueDeFi. Източник: Twitter / @emilianobonassi
Според an анализ проведено от одиторска фирма PeckShield, основната причина за експлоатацията на протокола ValueDeFi е грешка в нейния "MultiStablesVaults," който използва Curve за измерване на цената на актива. Заради грешката хакерите успяха да използват флаш заеми, за да манипулират цената на 3crv токени. След това те биха могли да изгорят отсечените жетони от пула, за да осребрят непропорционален дял от 33,08 милиона 3crv токени, вместо нормалните 24,95 милиона. След това хакерите изкупиха 3crv токените за DAI, което доведе до загуба от 7,4 милиона долара в DAI. (Хакерите обаче върнаха 2 милиона долара на основните разработчици на ValueDeFi.)
Коригиращи действия от ValueDeFi
Екипът на ValueDeFi публикува следкланичен анализ това очертава незабавни средства за защита и средносрочни планове за предотвратяване на подобни атаки с бързи заеми.
Като първа стъпка депозитите в трезора на MultiStables са спрени. За да изчисли точния размер на компенсацията, екипът е направил моментни снимки на баланса на всеки потребител преди атаката. Екипът също така планира да пусне втора версия на трезора MultiStables. Преди пускането, второто хранилище ще бъде одитирано от публични одитори и публични разработчици на Solidity.
В сравнение с първата версия на трезора, втората версия използва ценови емисии на Chainlink за подобряване на качеството на данните, осигуряване на сигурност на Oracle и предоставяне на точни цени на активите. Използването на ценови оракули намалява излагането на временни деформации на цените, предизвикани от флаш заеми, когато протоколът ValueDeFi извлича данни от веригите за ликвидност на Curve или други генерирани по веригата ценови емисии. Освен това, тъй като ценовите емисии на Chainlink не се актуализират едновременно за множество транзакции, флаш заемите нямат възможност да манипулират цената – тъй като те съществуват само в рамките на една транзакция.
Екипът ще създаде компенсационен фонд въз основа на фондове за програмисти, застрахователен фонд и част от таксите, събрани от протокола. За да компенсира потребителите за липсата на достъп до техния капитал, екипът е създал IOU токени, които представляват средствата, които не са върнати на потребителите. Токените IOU имат вградена инфлация, която автоматично ще натрупва 10% годишен процент доходност всяка седмица.
Екипът също продължи да търси решение с хакерите. Например, то предложено 1 милион DAI разпределение като награда и поиска хакерите да върнат останалите средства на засегнатите потребители. Хакерите все още не са отговорили на това искане.
Болезнени уроци
Неотдавнашните експлоати с флаш заеми за протоколи DeFi за пореден път разкриха липсата на разбиране в механиката на DeFi сред някои участници на пазара. В експлоатацията на протокола ValueDeFi, самоописано медицинска сестра и самоописан 19-годишен студент загубили съответно 100 000 и 200 000 долара. Докато хакерите връщат съответно 50 000 DAI и 45 000 DAI на медицинската сестра и студента, те предупреждават потребителите за рисковете, свързани с липсата на знания и предпазливост.
Хакерите в експлоатацията на протокола ValueDeFi предупредиха потребителите за рисковете от инвестиране в протоколи за отглеждане на добив. Източник: Etherscan
Горепосочените примери илюстрират как някои участници в DeFi вземат предвид само текущата възвръщаемост от протоколите за отглеждане на добив, без да признават рисковете, присъщи на интелигентните договори. Дори екипът на ValueDeFi повтори, че винаги има елемент на риск, когато се инвестира в протоколи DeFi.
С внедряването на нови протоколи DeFi, които стават все по-сложни, рисковете от инвестиране в тези протоколи вероятно ще се увеличат само.
OKEx Insights представя пазарни анализи, задълбочени функции, оригинални изследвания & подбрани новини от крипто професионалисти.