Атаките с бързи заеми причиняват загуба на 34 милиона долара, но могат ли да бъдат спрени?
DeFi Digest на OKEx Insights е седмичен преглед на децентрализираната финансова индустрия.
Децентрализираният финансов пазар отбеляза лек спад миналата седмица, тъй като общата стойност, заключена в продуктите на DeFi, спадна от 12,38 млрд. Долара на 11,04 млрд. Долара.
Uniswap запази позицията си на пазарен лидер с блокиран пазарен дял от 24% от общата стойност в щатски долари. Децентрализираната борса също имаше най-големия пул на ликвидност и запази доминацията си в обем на търговия от 65%.
Водени от хакването на Harvest Finance за 34 милиона долара, обемът на търговия с DEX достигна 3,4 милиарда на 26 октомври.
В сферата на децентрализираното кредитиране Compound продължи да води с пазарен дял от 54%.
Общата стойност, заключена в DeFi, спадна, докато седмичният обем на DEX експлодира, след хакването на Harvest Finance. Източници: DeFi Pulse и DeBank
Токенът KP3R на мрежата Keep3r поддържа живата реклама на DeFi
Въпреки лекия спад в общата заключена стойност, ажиотажът на пазара на DeFi остана жив след пускането на нов токен от Andre Cronje. Основателят на yearn.finance обяви KP3R, символът за неговия последен проект – т.е. Keep3r Network, децентрализиран пазар за технически работни места.
Подобно на предишните си проекти, като eminence.finance, Cronje подчерта, че keep3r.network все още е в етап на бета-тестване. Участниците на пазара обаче бяха развълнувани от най-новия протокол на Cronje и KP3R скочи до небето от $ 25 до $ 350 на Uniswap в рамките на часове след стартирането.
Атаката на Flash-заем на Harvest Finance от 34 милиона долара
От другата страна на сферата на DeFi, уязвимостите в сигурността в протоколите DeFi остават проблем, след като Harvest Finance загуби 34 милиона долара.
Harvest Finance е платформа за отглеждане на добив, която предоставя услуги за проследяване на APY, разработване на стратегии и мониторинг на разходите за газ за фермерите. Протоколът загуби 34 милиона долара от атаки с флаш заеми на 26 октомври и общата му стойност беше заключена потопен с повече от 60%.
Какво е флаш заем?
Бързият заем е децентрализирана финансова иновация, инициирана от протокола за кредитиране на DeFi Aave през януари. Продуктът позволява на потребителите да заемат заеми, без да предоставят обезпечение. Флаш заемът не извършва проверка на кредитополучателите.
Флаш заемите са придобили популярност сред арбитражите, тъй като те могат да извършат следните стъпки, за да извлекат бърза печалба:
- Заемайте заеми.
- Използвайте заеми, за да купите токени на по-ниска цена на един DEX.
- Препродайте същите жетони на по-висока цена на друг DEX.
- Изплатете заема и лихвите.
- Запазете печалбата.
Гореспоменатите действия се извършват в рамките на една и съща верижна транзакция. За да извърши тези транзакции, арбитражът трябва предварително да кодира всички стъпки в интелигентния договор. Ако кредитополучателят не може да изплати заема навреме, нито една от транзакциите няма да бъде изпълнена. (Това е в съответствие с атомни транзакции на Ethereum – ако една от верижните транзакции се провали, веригата се прекъсва и споразумението, кодирано в интелигентния договор, не е изпълнено. Следователно транзакциите в интелигентния договор няма да бъдат изпълнени.)
Какво се случи с Harvest Finance?
Докато флаш заемите осигуряват нов източник на печалба в децентрализираната финансова сфера, злонамерени участници се опитват да използват заети средства, за да манипулират пазара на DeFi – известен като атаки с флаш заеми.
В случая с Harvest Finance хакерите взеха поредица от действия за арбитражни печалби и манипулира пазара на DeFi:
- Хакерите първо осигуриха 50 милиона USDC и 18,3 милиона USDT флаш заеми от Uniswap.
- След това хакерите преобразуваха 17,222 милиона USDT в USDC чрез Y басейн, пул на ликвидност в Curve Finance. Масивното преобразуване на USDT в USDC повиши цената на USDC и размерът на преобразувания USDC стана само 17,216 милиона.
- След това хакерите депозираха 49,97 милиона USDC в трезора на Harvest Finance в USDC и получиха 51,46 милиона fUSDC. След депозита цената на USDC за акция намаля с 1% (от 0.98 на 0.971). Тъй като промяната на стойността не надвишава прага от 3%, транзакциите бяха изпълнени и не се върнаха.
- Хакерите конвертираха всички fUSDC в USDC с печалба от 619 000 USDC. След това те повториха една и съща транзакция няколко пъти, за да извлекат бързи печалби.
- Хакерите прехвърлиха 13 милиона USDC и 11 милиона USDT на адресите им. След това те прехвърлиха 1,76 милиона USDC и 718 000 USDT обратно на екипа на Harvest Finance.
Според екипа на Harvest Finance цените на акциите на трезора на USDC и на трезора на USDT са спаднали съответно с 13,8% и 13,7% – комбинирайки обща загуба от 34 милиона долара. Екипът подчерта, че нападателите са използвали ефекта от непостоянни загуби в Y басейна в Curve. След това нападателите депозираха средства в трезора на Harvest Finance за изгодна цена и излязоха от трезора на редовна цена на акция, за да спечелят печалби. За загуби на потребителите, екипът на Harvest Finance разпредели върнатите средства на жертвите и даде награда от 100 хиляди долара за тези, които биха могли да помогнат за връщането на средствата.
Междувременно Uniswap достигна рекорден за всички времена обем от 2,19 млрд. Долара. Крива също надминат $ 2 милиарда в обем на търговия. Това вероятно се дължи на хакерите на Harvest Finance, които използват тези автоматизирани маркетмейкъри, за да прехвърлят средствата си.
Дневният обем на Uniswap достигна рекорд за всички времена след хакването на Harvest Finance. Източник: Разменете
Могат ли да бъдат спрени атаките с флаш заеми?
Екипът на Harvest Finance идентифицира няколко възможни решения за предотвратяване на атаки с бързи заеми. Първият е да се приложи механизъм за ангажиране и разкриване на депозити. Този механизъм би направил атаките с флаш заеми невъзможни, като деактивира депозити и тегления в същата транзакция. За потребителите това означава, че депозитите и тегленията се отчитат в различни транзакции – и те биха платили малко по-високи такси за газ за това. Екипът също така планира да определи по-нисък праг за по-строга проверка на арбитражния депозит, което увеличава икономическите разходи за стартиране на атаки с бързи заеми.
За да подобрят откриването на цените, някои протоколи DeFi могат да използват външни оракули за цените, като Chainlink или Maker. Ако обаче цената на активите в протокола DeFi е различна от оракула, хранилището на активи може да бъде изложено на арбитраж и атаки с флаш заем. Екипът на Harvest Finance вярва, че блокчейн оракулите не са решение за тях поради дизайна на системата.
OKEx Insights представя пазарни анализи, задълбочени функции, оригинални изследвания & подбрани новини от крипто професионалисти.