يكشف هجوم القروض السريعة ValueDeFi عن نقص خطير في العناية الواجبة في DeFi

DeFi Digest من OKEx Insights هو فحص أسبوعي لصناعة التمويل اللامركزية.

لقطة سوق DeFi

حافظ سوق التمويل اللامركزي على زخمه الصعودي هذا الأسبوع حيث ارتفعت القيمة الإجمالية المحجوزة لمنتجات DeFi بشكل طفيف من 13.65 مليار دولار إلى 13.80 مليار دولار. 

نما سوق الإقراض اللامركزي بنسبة 8٪ هذا الأسبوع حيث بلغ حجم الاقتراض الإجمالي 3.09 مليار دولار. مستفيدًا من النمو ، استبدل Maker Uniswap كقائد DeFi العام ، مع مستوى هيمنة على السوق بنسبة 17٪. في غضون ذلك ، حافظ المجمع على هيمنته السوقية في مجال الإقراض ، بحصة 55٪.

ارتفع متوسط ​​حجم التداول الأسبوعي للبورصات اللامركزية بنسبة 20٪ وبلغ 0.53 مليار دولار هذا الأسبوع. بينما حافظت Uniswap على هيمنتها على حجم التداول بنسبة 37 ٪ ، تم استبدال موقعها كأكبر تجمع للسيولة بمنافسها الأساسي ، SushiSwap.

نما حجم التداول الأسبوعي في بورصة دبي للطاقة بنسبة 20٪. مصدر: نبض DeFi و DeBank

أثبتت هجمات القروض السريعة أنها مشكلة لـ DeFi

أصبحت هجمات القروض السريعة مصدر إزعاج لمجتمع DeFi حيث أصبح مجمع العائد ValueDeFi خامس ضحية خلال ثلاثة أسابيع فقط. بعد خسارة 34 مليون دولار من Harvest Finance ، كانت هناك عمليات استغلال للقروض السريعة من Akropolis و Origin Protocol و Cheese Bank ، مع خسارة في 2 مليون دولار, 7 مليون دولار و 3.3 مليون دولار, على التوالى.

عانت شركة ValueDeFi من استغلال لقرض سريع بقيمة 6 ملايين دولار في 14 نوفمبر. وفقًا لإيميليانو بوناسي ، أحد المتسللين ذوي القبعات البيضاء ، فإن استغلال القرض السريع في بروتوكول ValueDeFi كان أكثر تعقيدا من الهجمات السابقة ، حيث تم استخدام قرضين عاجلين. قام المتسللون بإخراج ملف قرض سريع بقيمة 80،000 ETH – بقيمة تزيد عن 36 مليون دولار – وقرض سريع بقيمة 116 مليون دولار في DAI من Uniswap لاستغلال بروتوكول ValueDeFi ، مما أدى إلى خسارة صافية قدرها 6 ملايين دولار. 

تم توضيح الخطوات التفصيلية للهجوم على حساب Bonassi على Twitter:

استخدم المتسللون قرضين فلاشيين على Aave و Uniswap لاستغلال بروتوكول ValueDeFi. مصدر: تويتر /emilianobonassi

بحسب أ التحليلات أجرته شركة التدقيق PeckShield ، كان السبب الجذري لاستغلال بروتوكول ValueDeFi هو وجود خطأ في "MultiStablesVaults," الذي يستخدم المنحنى لقياس سعر الأصل. بسبب الخطأ ، كان المتسللون قادرين على استخدام قروض فلاش للتلاعب بسعر الرموز 3crv. بعد ذلك ، يمكنهم حرق الرموز المميزة المسكوكة من المجمع لاسترداد حصة غير متناسبة قدرها 33.08 مليون 3crv Tokens ، بدلاً من 24.95 مليونًا عاديًا. ثم استبدل المتسللون الرموز 3crv لـ DAI ، مما أدى إلى خسارة 7.4 مليون دولار في DAI. (ومع ذلك ، أعاد المتسللون 2 مليون دولار إلى مطوري ValueDeFi الأساسيين).

الإجراءات العلاجية بواسطة ValueDeFi

نشر فريق ValueDeFi ملف تحليل ما بعد الوفاة التي تحدد العلاجات الفورية والخطط متوسطة الأجل لمنع مثل هذه الهجمات على القروض السريعة.


كخطوة أولى ، تم إيقاف الإيداعات في خزنة MultiStables. لحساب مبلغ التعويض الدقيق ، أخذ الفريق لقطات من رصيد كل مستخدم قبل الهجوم. يخطط الفريق أيضًا لإصدار نسخة ثانية من MultiStables vault. قبل الإصدار ، سيتم تدقيق الخزنة الثانية من قبل المدققين العامين ومطوري Solidity العامة.

مقارنة بالإصدار الأول من الخزنة ، الإصدار الثاني يستخدم موجز أسعار Chainlink لتحسين جودة البيانات وتوفير أمان أوراكل وتوفير أسعار أصول دقيقة. يقلل استخدام أوراكل السعر من التعرض لتشوهات الأسعار المؤقتة الناتجة عن القروض السريعة عندما يستخرج بروتوكول ValueDeFi البيانات من مجمعات السيولة على السلسلة الخاصة بـ Curve أو غيرها من موجزات الأسعار التي يتم إنشاؤها عبر السلسلة. بالإضافة إلى ذلك ، نظرًا لأن خلاصات أسعار Chainlink لا يتم تحديثها في وقت واحد عبر معاملات متعددة ، فإن القروض السريعة ليس لها القدرة على التلاعب بالسعر – نظرًا لأنها موجودة فقط داخل معاملة واحدة.

سيقوم الفريق بإنشاء صندوق تعويض بناءً على أموال المطور وصندوق تأمين وجزء من الرسوم التي يتم تحصيلها بواسطة البروتوكول. لتعويض المستخدمين عن عدم الوصول إلى رأس مالهم ، أنشأ الفريق رموز IOU لتمثيل الأموال التي لم تتم إعادتها إلى المستخدمين. تحتوي رموز IOU على تضخم داخلي سيحقق تلقائيًا عائدًا سنويًا بنسبة 10 ٪ كل أسبوع.

واصل الفريق أيضًا البحث عن حل مع المتسللين. على سبيل المثال ، هو مقترح توزيع مليون DAI كمكافأة وطلب من المتسللين إعادة الأموال المتبقية إلى المستخدمين المتأثرين. لم يستجب المتسللون بعد لهذا الطلب.

دروس مؤلمة

كشفت عمليات الاستغلال الأخيرة للقرض السريع على بروتوكولات DeFi مرة أخرى عن عدم فهم آليات DeFi بين بعض المشاركين في السوق. في بروتوكول ValueDeFi استغلال ، موصوف ذاتيًا ممرض ووصف نفسه البالغ من العمر 19 عامًا طالب علم خسرت 100000 دولار و 200000 دولار على التوالي. بينما أعاد المتسللون 50،000 DAI و 45،000 DAI إلى الممرضة والطالب ، على التوالي ، فقد حذروا المستخدمين من المخاطر المرتبطة بنقص المعرفة والحذر لديهم.

حذر المتسللون في استغلال بروتوكول ValueDeFi المستخدمين من مخاطر الاستثمار في بروتوكولات زراعة المحاصيل. مصدر: إثيرسكان

توضح الأمثلة المذكورة أعلاه كيف ينظر بعض المشاركين في DeFi فقط في العوائد الحالية من بروتوكولات زراعة الغلة دون الاعتراف بالمخاطر الكامنة في العقود الذكية. حتى فريق ValueDeFi أكد أن هناك دائمًا عنصر المخاطرة عند الاستثمار في بروتوكولات DeFi.

مع تزايد تعقيد نشر بروتوكولات DeFi الجديدة ، من المرجح أن تزداد مخاطر الاستثمار في هذه البروتوكولات.

تقدم OKEx Insights تحليلات السوق والميزات المتعمقة والأبحاث الأصلية & الأخبار المنسقة من محترفي التشفير.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map