Flash-lånattacker orsakar 34 miljoner dollar förlust, men kan de stoppas?

OKEx Insights DeFi Digest är en veckovis undersökning av den decentraliserade finansbranschen.

Den decentraliserade finansmarknaden minskade något förra veckan då det totala värdet i DeFi-produkterna sjönk från 12,38 miljarder dollar till 11,04 miljarder dollar. 

Uniswap behöll sin position som marknadsledare med en marknadsandel på 24% av det totala USD-värdet låst. Den decentraliserade börsen hade också den största likviditetspoolen och behöll sin handelsvolymdominans på 65%. 

Driven av Harvest Finance på 34 miljoner dollar nådde DEXs handelsvolym 3,4 miljarder dollar den 26 oktober.

Inom området för decentraliserad utlåning fortsatte Compound att leda med en marknadsandel på 54%.

Det totala värdet låst i DeFi sjönk medan den veckovisa volymen av DEX exploderade efter Harvest Finance-hacket. Källor: DeFi Pulse och DeBank

Keep3r-nätverkets KP3R-token håller DeFi-hype vid liv

Trots den lilla nedgången i det totala värdet låst, hype på DeFi-marknaden förblev vid liv efter lanseringen av en ny token av Andre Cronje. Yearn.finance-grundaren tillkännagav KP3R, symbolen för hans senaste projektet – dvs Keep3r Network, en decentraliserad marknadsplats för tekniska jobb. 

I likhet med hans tidigare projekt, som eminence.finance, betonade Cronje att keep3r.network fortfarande är under sitt beta-teststadium. Marknadsaktörerna var dock glada över Cronjes senaste protokoll och KP3R skjutit i höjden från $ 25 till $ 350 på Uniswap inom några timmar efter lanseringen. 

Harvest Finance: s attack på 34 miljoner dollar

På andra sidan av DeFi-sfären är säkerhetsproblem i DeFi-protokoll fortfarande ett problem efter att Harvest Finance förlorat 34 miljoner dollar.

Harvest Finance är en plattform för avkastningsodling som tillhandahåller APY-spårning, strategiutveckling och gaskostnadsövervakningstjänster för jordbrukare. Protokollet förlorade 34 miljoner dollar från flash-lånattacker den 26 oktober och dess totala värde låst störtade med mer än 60%.

Vad är ett flash-lån?

Ett flash-lån är en decentraliserad finansinnovation som initierades av DeFi-låneprotokollet Aave i januari. Produkten tillåter användare att låna lån utan att ställa några säkerheter. Ett flash-lån gör ingen kreditkontroll på låntagare. 


Flash-lån har vunnit popularitet bland arbitrageurs, eftersom de kan genomföra följande steg för att skörda snabba vinster:

  1. Låna lån.
  2. Använd lån för att köpa tokens till ett lägre pris på en DEX.
  3. Sälj igen samma tokens till ett högre pris på en annan DEX.
  4. Återbetal lånet och ränta.
  5. Behåll vinsten.

Ovannämnda åtgärder genomförs inom samma transaktion via kedjan. För att utföra dessa transaktioner måste arbitrageur i förväg koda alla steg i det smarta kontraktet. Om låntagaren inte kan återbetala lånet i tid kommer ingen av transaktionerna att genomföras. (Detta överensstämmer med atomtransaktioner på Ethereum – om någon av de kedjade transaktionerna misslyckades bryts kedjan och avtalet som kodats i det smarta avtalet uppfylls inte. Därför kommer inte transaktionerna i det smarta kontraktet att genomföras.)

Vad hände med Harvest Finance?

Medan flash-lån ger en ny vinstkälla i det decentraliserade finansområdet, försöker skadliga aktörer använda lånade medel för att manipulera DeFi-marknaden – så kallad flash-lånattacker.

När det gäller Harvest Finance tog hackare en serie åtgärder för arbitragevinst och manipulerade DeFi-marknaden:

  1. Hackare fick först 50 miljoner USDC och 18,3 miljoner USDT flash-lån från Uniswap.
  2. Hackare konverterade sedan 17,222 miljoner USDT till USDC via Y pool, en likviditetspool i Curve Finance. Den massiva USDT-till-USDC-omvandlingen drev upp priset på USDC och mängden konverterade USDC blev bara 17,216 miljoner.
  3. Hackare deponerade sedan 49,97 miljoner USDC i Harvest Finance USDC-valv och fick 51,46 miljoner fUSDC. Efter insättningen minskade priset på USDC per aktie med 1% (från 0,98 till 0,971). Eftersom värdeförändringen inte översteg tröskeln på 3% genomfördes transaktionerna och återfördes inte.
  4. Hackare konverterade alla fUSDC till USDC med en vinst på 619 000 USDC. Sedan upprepade de samma transaktion flera gånger för att få snabba vinster.
  5. Hackarna överförde 13 miljoner USDC och 11 miljoner USDT till sina adresser. Sedan överförde de 1,76 miljoner USDC och 718K USDT tillbaka till Harvest Finance-teamet.

Enligt teamet för Harvest Finance sjönk aktiekurserna i USDC-valvet och USDT-valvet med 13,8% respektive 13,7% – vilket kombinerade för en total förlust på 34 miljoner dollar. Teamet betonade att angriparna utnyttjade effekten av permanenta förluster i Y-poolen i Curve. Angriparna deponerade sedan medel i Harvest Finance valv till ett fördelaktigt pris och lämnade valvet till en vanlig aktiekurs för att fånga vinster. Till användarnas förluster distribuerade Harvest Finance-teamet de återlämnade medlen till offren och lanserade en bounty på 100 000 USD för dem som kan hjälpa till att returnera pengarna.

Under tiden nådde Uniswap en heltidsvolym på 2,19 miljarder dollar. Böj också överträffat 2 miljarder dollar i handelsvolym. Detta beror troligen på att Harvest Finance hackare använder dessa automatiserade marknadsförare för att överföra sina medel.

Den dagliga volymen på Uniswap nådde en rekordhög nivå efter Harvest Finance-hacket. Källa: Uniswap

Kan attacker med flash-lån stoppas?

Harvest Finance-teamet identifierade några möjliga lösningar för att förhindra flash-lånattacker. Den första är att implementera en åtagandemekanism för insättningar. Denna mekanism skulle göra flash-lånattacker omöjliga genom att inaktivera insättningar och uttag i samma transaktion. För användare betyder det att insättningar och uttag registreras i olika transaktioner – och de skulle betala något högre gasavgifter för det. Teamet planerar också att ställa in en lägre tröskel för strängare insättningsarbitrage kontroll, vilket ökar de ekonomiska kostnaderna för att starta flash-lån attacker.

För att förbättra prisupptäckten kan vissa DeFi-protokoll använda externa prisorakler, som Chainlink eller Maker. Men om priset på tillgångar i DeFi-protokollet skiljer sig från oraklet kan tillgångsvalvet utsättas för arbitrage och flash-lånattacker. Harvest Finance-teamet anser att blockchain-orakel inte är en lösning för dem på grund av systemdesignen.

OKEx Insights presenterar marknadsanalyser, djupgående funktioner, originalforskning & samlade nyheter från kryptopersonal.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map