DeFi-marknaden överstiger 40 miljarder dollar då Alpha Finance lider av det värsta flash-lånet i historien

OKEx Insights DeFi Digest är en veckovis undersökning av den decentraliserade finansbranschen.

DeFi Digest-bild

Den decentraliserade finansmarknaden nådde återigen nya toppar på baksidan av BTC som slog milstolpen på 50 000 dollar över globala börser. Det totala värdet låst i DeFi-produkter översteg först 40 miljarder dollar den 12 februari och har haft en 8% veckovinst.

Den fortsatta ökningen av DeFi-marknaden har varit tydlig i utlåningssfären, där de totala upplåningsvolymerna ökade med 13% till 7,23 miljarder dollar. Compound dominerade utlåningsmarknaden med en andel på 55%.

Den veckovisa genomsnittliga handelsvolymen för decentraliserade börser sjönk något till 2,28 miljarder dollar, i skrivande stund. Uniswap – som nyligen bearbetas en kumulativ volym på över 100 miljarder dollar – fortsätter att leda DEX med en marknadsandel på 38%. Aave ersatte SushiSwap som den största likviditetspoolen den här veckan, med sitt totala värde låst till 1,52 miljarder dollar.

Kategori Nyckelstatistik Belopp Varje vecka förändring
Övergripande Totalt värde låst (USD) 39,94 miljarder dollar 8%
Marknadsdominans (%) Tillverkare (16%)
Utlåning Totalt upplåningsvolym. 7,23 miljarder dollar 13%
Marknadsdominans (%) Förening (55%)
DEX Veckovis genomsnitt handelsvolym. 2,28 miljarder dollar -6%
Marknadsdominans (%) Uniswap (38%)
Avkastning Största likviditetspoolen Aave (1,52 miljarder dollar)

Den här veckan steg både det totala låsta värdet och upplåningsvolymerna veckovisa DEX-handelsvolymer sjönk 6%. Källa: DeFi Pulse och DeBank

DeFi: s största flash-lånattack

Medan DeFi-marknadsdeltagare blev förskräckta över TVL-milstolpen på 40 miljarder dollar den här veckan, drabbades Alpha Finance av en snabblansattack som ledde till en ungefärlig förlust på 38 miljoner dollar. Detta överträffade Harvest Finance hack på 34 miljoner dollar och blev den största flash-attacken i DeFis relativt korta historia.

Alpha Finance-teamet först förklarade flashlansattacken den 13 februari. Teamet släppte en obduktion nästa dag för att dela detaljerna i Alpha Homora V2-exploateringen.

Efter dödsfallet uppgavs att angriparen inledde ett komplext utnyttjande med mer än nio transaktioner, som sammanfattades i 13 steg. Teamet listade också följande kryphål i Alpha Homora V2 smarta kontrakt som gjorde utnyttjandet möjligt:

  1. HomoraBankv2 hade en sUSD-pool som var under förberedelse och inte släpptes offentligt. SUSD-poolen hade ingen likviditet och angriparen kunde blåsa upp både det totala skuldbeloppet och den totala skuldandelen.
  2. ResolutionReserve-funktionen kan öka den totala skulden utan att öka den totala skuldandelen. Denna funktion kan utföras av alla användare.
  3. Det gjordes en avrundning felberäkning i beräkningen av lånefunktionen. Detta var endast tillämpligt när angriparen var den enda låntagaren.
  4. HomoraBankv2 accepterade alla anpassade stavningar från användare, med tanke på att säkerheten är större än lånebeloppet. (En trollformel i Alpha Finance liknar en strategi inom Yearn Finance.)

För att starta den komplexa flash-låneattacken, angriparen först skapade en trollformel i Alpha Homora V2. Angriparen bytte sedan ETH till sUSD på Uniswap och deponerade sUSD till Iron Bank of Cream Finance. För att manipulera sUSD-poolen lånade angriparen 1000e18 sUSD och kringgick säkerhetskontrollen deponering UNI-WETHs likviditetspolicy som säkerhet. Angriparen fick 1000e18 sUSD-skuldaktier i gengäld. Angriparen utnyttjade de första och fjärde kryphålen som nämnts tidigare för att utföra dessa steg.

Medan angriparen var den enda låntagaren i detta Alpha Finance-utnyttjande, utnyttjade de den avrundade felberäkningen i lånefunktionen genom att återbetala sUSD-andelen på en mindre än det totala lånebeloppet. Angriparen då avrättade resolveReserve-funktionen på sUSD-banken, vilket ledde till en upplupen skuld på 19.709 miljarder sUSD då den totala skuldandelen förblev en.

Angriparen upprepade ovanstående procedurer 26 gånger och fördubblade det lånade beloppet varje gång. Eftersom varje upplåning var en mindre än det totala skuldvärdet, ledde detta till en motsvarande upplåningsandel på noll, och protokollet kunde inte erkänna upplåningen. Angriparen fick sedan flash-lån från Aave och tvättade pengarna i Curve.

Alpha Finance reaktion


I skrivande stund, angriparen hålls 10 925 ETH i sin plånbokadress. Medan angriparen har deponeras över $ 10 miljoner stablecoins under Curves spår, returnerade de 1000 ETH till Alpha Homora V2 respektive Cream V2-utvecklarna. En liten del av den stulna ETH skickades till Tornado och Gitcoin Grant. Alpha-teamet uppskattade en total fondförlust på 38 miljoner dollar.

Alpha-teamet betonade att upplåningen från angripare var en skuld mellan Alpha Homora V2 och Cream V2-plattformarna, vilket innebär att användarnas medel inte var inblandade i denna händelse. Alpha Finance-teamet vidtog följande omedelbara åtgärder för att stoppa exploateringen:

  • Det tog bort upplånings- och återbetalningsfunktionaliteten hos sUSD, vilket hindrade användare från att öppna nya hävstångspositioner.
  • Det säkerställde att endast vitlistade trollformler kunde utföras.
  • Det säkerställde att endast guvernören kunde avrätta "lös Reservera" fungera.
  • Den kontaktade olika parter för att svartlista angriparens adress.

Medan likviditetsleverantörer inte kan låna i Alpha kan de fortfarande lägga till säkerheter, betala tillbaka skulder, stänga positioner och skörda sina odlade tokens. Långivare i Alpha Finance kan å andra sidan låna ut och ta ut tillgångar som vanligt.

För att mildra den negativa påverkan som Alpha Finance-användare har, samarbetar teamet med Yearn Finance-grundaren Andre Cronje och Cream Finance-teamet för att lösa skulden.

Som en medel- till långsiktig lösning fortsatte Alpha Finance-teamet att söka externa revisorer och betrodda utvecklare för att granska sina smarta kontrakt. Teamet överväger också att starta nya och kreativa bug bounty-program för andra DeFi-protokoll att följa.

OKEx Insights presenterar marknadsanalyser, djupgående funktioner och kurerade nyheter från kryptopersonal.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map