アルファファイナンスが史上最悪のフラッシュローン攻撃に苦しんでいるため、DeFi市場は400億ドルを超えています

OKExInsightsのDeFiDigestは、分散型金融業界の毎週の調査です。.

DeFiダイジェスト画像

分散型金融市場は、BTCが世界の取引所全体で50,000ドルのマイルストーンに達した後、再び最高値に達しました。 DeFi製品に閉じ込められた総額は、2月12日に最初に400億ドルを超え、毎週8%の利益を上げました。.

DeFi市場の継続的な上昇は、貸付分野で明らかであり、総借入額は13%増加して72.3億ドルになりました。コンパウンドは55%のシェアで貸付市場を支配しました.

この記事の執筆時点で、分散型取引所の週平均取引量はわずかに減少して22.8億ドルになりました。 Uniswap —最近 処理済み 累積ボリュームは1,000億ドルを超え、38%の市場シェアでDEXをリードし続けています。 Aaveは今週最大の流動性プールとしてSushiSwapに取って代わり、その総額は15億2000万ドルに達しました。.

カテゴリー 主要な統計 毎週の変化率
全体 ロックされた合計値(USD) 399.4億ドル 8%
市場での優位性(%) メーカー(16%)
貸付 総借入額. 72億3000万ドル 13%
市場での優位性(%) 化合物(55%)
DEX 週平均トレーディングvol. 22億8000万ドル -6%
市場での優位性(%) ユニスワップ(38%)
収量農業 最大の流動性プール Aave(15億2000万ドル)

今週は、ロックされた総額と借入額の両方が増加しましたが、 毎週のDEX取引量 6%下落しました。出典:DeFiPulseおよびDeBank

DeFi最大のフラッシュローン攻撃

DeFi市場の参加者は今週400億ドルのTVLマイルストーンについて誇大宣伝されましたが、Alpha Financeはフラッシュローン攻撃を受け、約3,800万ドルの損失をもたらしました。これはHarvestFinanceの3400万ドルのハッキングを上回り、DeFiの比較的短い歴史の中で最大のフラッシュローン攻撃になりました。.

アルファファイナンスチームが最初 宣言 2月13日のフラッシュローン攻撃。チームは 事後分析 翌日、Alpha HomoraV2エクスプロイトの詳細を共有します.

事後分析では、攻撃者が9つを超えるトランザクションを含む複雑なエクスプロイトを開始したと述べており、これは13のステップにまとめられています。チームはまた、エクスプロイトを可能にしたAlpha HomoraV2スマートコントラクトの次の抜け穴をリストしました。

  1. HomoraBankv2には、準備中であり、公開されていないsUSDプールがありました。 sUSDプールには流動性がなく、攻撃者は総債務額と総債務シェアの両方を膨らませる可能性があります.
  2. resolveReserve関数は、総債務シェアを増やすことなく、総債務を増やすことができます。この機能はどのユーザーでも実行できます.
  3. 借用関数の計算に丸めの誤算がありました。これは、攻撃者が唯一の借り手である場合にのみ適用されました。.
  4. HomoraBankv2は、担保の金額が借入金額よりも多いことを考慮して、ユーザーからのカスタマイズされた呪文を受け入れました。 (Alpha Financeの呪文は、Yearn Financeの戦略に似ています。)

複雑なフラッシュローン攻撃を開始するには、攻撃者が最初に 呪文を作成しました アルファホモラV2で。次に、攻撃者はUniswapでETHをsUSDに交換し、sUSDをIron Bank of CreamFinanceに預け入れました。 sUSDプールを操作するために、攻撃者は1,000e18 sUSDを借りて、セキュリティチェックをバイパスしました。 寄託 担保としてのUNI-WETHの流動性プールトークン。攻撃者はその見返りに1,000e18sUSDの債務株を取得しました。攻撃者は、前述の1番目と4番目の抜け穴を利用してこれらの手順を実行しました.

攻撃者はこのAlphaFinanceエクスプロイトの唯一の借り手でしたが、借り入れ関数の丸めの誤算を利用して 返済 総借入額より1少ないsUSDシェア。その後、攻撃者は 実行された sUSD銀行のresolveReserve関数は、総債務シェアが1のままであるため、19兆709億sUSDの未払債務につながります。.

攻撃者は上記の手順を26回繰り返し、そのたびに借入額を2倍にしました。各借入金は総債務額より1少ないため、対応する借入金のシェアはゼロになり、プロトコルは借入金を認識できませんでした。その後、攻撃者はAaveからフラッシュローンを取得し、Curveで資金を洗浄しました。.

アルファファイナンスの反応


執筆時点では、攻撃者は 開催 ウォレットアドレスに10,925ETH。攻撃者が持っている間 寄託 Curveのゲージの下で1,000万ドル以上の安定したコインを、彼らはそれぞれ1,000ETHをAlphaHomoraV2とCreamV2の開発者に返しました。盗まれたETHのごく一部がトルネードとギトコイングラントに送られました。 Alphaチームは、合計で3,800万ドルの資金損失を見積もっています。.

Alphaチームは、攻撃者からの借り入れはAlpha HomoraV2プラットフォームとCreamV2プラットフォームの間の債務であり、ユーザーの資金はこの事件に関与していなかったことを強調しました。 Alpha Financeチームは、エクスプロイトを停止するために次の即時アクションを実行しました。

  • sUSDの借入および返済機能が削除され、ユーザーが新しいレバレッジポジションを開くことができなくなりました。.
  • ホワイトリストに載っている呪文だけが実行できるようになりました.
  • それは知事だけが実行できることを保証しました "resolveReserve" 関数.
  • 攻撃者のアドレスをブラックリストに載せるためにさまざまな関係者に連絡しました.

流動性プロバイダーはAlphaで借りることはできませんが、担保を追加したり、債務を返済したり、ポジションをクローズしたり、ファームトークンを収穫したりすることはできます。一方、Alpha Financeの貸し手は、通常どおり資産を貸し出したり引き出したりできます。.

Alpha Financeのユーザーにもたらされる悪影響を軽減するために、チームはYearnFinanceの創設者であるAndreCronjeおよびCreamFinanceチームと提携して債務を解決しています。.

中長期的なソリューションとして、Alpha Financeチームは、スマートコントラクトを確認するために、外部監査人と信頼できる開発者を引き続き探しました。チームはまた、他のDeFiプロトコルが従うための新しい創造的なバグ報奨金プログラムの立ち上げを検討しています.

OKEx Insightsは、市場分析、詳細な機能、暗号の専門家からの厳選されたニュースを提供します.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map