ValueDeFi-flashlansattack avslöjar kritisk brist på due diligence i DeFi

OKEx Insights DeFi Digest är en veckovis undersökning av den decentraliserade finansbranschen.

Ögonblicksbild av DeFi-marknaden

Den decentraliserade finansmarknaden behöll sin hausseartade fart den här veckan eftersom det totala värdet i DeFi-produkterna steg något från 13,65 miljarder dollar till 13,80 miljarder dollar. 

Den decentraliserade utlåningsmarknaden växte med 8% denna vecka när den totala upplåningsvolymen nådde 3,09 miljarder dollar. Genom att dra nytta av tillväxten ersatte Maker Uniswap som den övergripande DeFi-ledaren med en marknadsdominansnivå på 17%. Under tiden behöll Compound sin marknadsdominans inom utlåningssfären med en andel på 55%.

Den veckovisa genomsnittliga handelsvolymen för decentraliserade börser ökade med 20% och nådde 0,53 miljarder dollar denna vecka. Medan Uniswap bibehöll sin handelsvolymsdominans på 37%, ersattes positionen som den största likviditetspoolen av sin primära konkurrent, SushiSwap.

Veckos handelsvolym för DEX växte med 20%. Källa: DeFi Pulse och DeBank

Flash-lånattacker visar sig vara problematiska för DeFi

Flash-lånattacker har blivit en huvudvärk för DeFi-samhället eftersom avkastningsaggregat ValueDeFi blev det femte offret på bara tre veckor. Efter förlusten på 34 miljoner dollar från Harvest Finance har Akropolis, Origin Protocol och Cheese Bank utnyttjat flash-lån med en förlust på 2 miljoner dollar, 7 miljoner dollar och 3,3 miljoner dollar, respektive.

ValueDeFi drabbades av ett utnyttjande av lån på 6 miljoner dollar den 14 november. Enligt Emiliano Bonassi, en självbeskriven hackare med vit hatt, var utnyttjandet av flash-lån på ValueDeFi-protokollet mer komplex än tidigare attacker, eftersom två flash-lån användes. Hackare tog ut en flash-lån på 80 000 ETH – värt över 36 miljoner dollar – och ett flashlån på 116 miljoner dollar i DAI från Uniswap för att utnyttja ValueDeFi-protokollet, vilket resulterade i en nettoförlust på 6 miljoner dollar. 

De detaljerade stegen för attacken illustrerades på Bonassis Twitter-konto:

Hackare använde två flash-lån på Aave och Uniswap för att utnyttja ValueDeFi-protokollet. Källa: Twitter / @emilianobonassi

Enligt en analys utförd av revisionsföretaget PeckShield var grundorsaken till ValueDeFi-protokollutnyttjandet ett fel i dess "MultiStablesVaults," som använder Curve för att mäta tillgångspriset. På grund av felet kunde hackare använda flash-lån för att manipulera priset på 3crv-tokens. Efter det kunde de bränna de präglade tokens från poolen för att lösa in en oproportionerlig andel på 33,08 miljoner 3crv-tokens, istället för de normala 24,95 miljoner. Hackare löste sedan in 3crv-tokens för DAI, vilket ledde till en förlust på 7,4 miljoner dollar i DAI. (Hackarna returnerade dock 2 miljoner dollar till kärnutvecklarna av ValueDeFi.)

Åtgärdsåtgärder av ValueDeFi

ValueDeFi-teamet publicerade en post mortem-analys som beskriver omedelbara rättsmedel och planer på medellång sikt för att förhindra sådana flash-lånattacker.

Som ett första steg har insättningar i MultiStables-valvet stoppats. För att beräkna det exakta kompensationsbeloppet har laget tagit ögonblicksbilder av varje användares balans innan attacken. Teamet planerar också att släppa en andra version av MultiStables-valvet. Före släppet kommer det andra valvet att granskas av offentliga revisorer och offentliga Solidity-utvecklare.

Jämfört med den första versionen av valvet, den andra versionen använder Chainlink-prisflöden för att förbättra datakvaliteten, tillhandahålla orakelsäkerhet och tillhandahålla korrekta tillgångspriser. Användningen av prisorakler minskar exponeringen för tillfälliga snedvridna prisförvrängningar när ValueDeFi-protokollet extraherar data från Curves likviditetspooler i kedjan eller andra prisgenereringar som genereras i kedjan. Eftersom Chainlink-prisflöden inte uppdateras samtidigt över flera transaktioner har flashlån ingen möjlighet att manipulera priset – eftersom de bara finns inom en enda transaktion.

Teamet kommer att skapa en kompensationsfond baserad på utvecklarfonder, en försäkringsfond och en del av de avgifter som protokollet tar ut. För att kompensera användare för brist på tillgång till deras kapital har teamet skapat IOU-tokens för att representera de medel som inte har återlämnats till användarna. IOU-tokens har inbyggd inflation som automatiskt kommer att uppnå 10% årlig procentavkastning varje vecka.

Teamet har också fortsatt att söka en lösning med hackarna. Till exempel det föreslagen en 1 miljon DAI-distribution som en bounty och begärde att hackare skulle lämna tillbaka de återstående medlen till berörda användare. Hackare har ännu inte svarat på denna begäran.

Smärtsamma lektioner

De senaste flash-utnyttjandet av DeFi-protokoll avslöjade återigen en bristande förståelse för DeFi-mekanik bland vissa marknadsaktörer. I ValueDeFi-protokollet utnyttjar, en självbeskriven sjuksköterska och en självbeskriven 19-åring studerande förlorade 100 000 $ respektive 200 000 $. Medan hackare returnerade 50 000 DAI och 45 000 DAI till sjuksköterskan respektive studenten varnade de användarna om riskerna med deras brist på kunskap och försiktighet.

Hackare i ValueDeFi-protokollet utnyttjar varnade användare om riskerna med att investera i avkastningsodlingsprotokoll. Källa: Etherscan

Ovan nämnda exempel illustrerar hur vissa DeFi-deltagare bara beaktar den aktuella avkastningen från avkastningsodlingsprotokoll utan att erkänna riskerna med smarta kontrakt. Till och med ValueDeFi-teamet upprepade att det alltid finns en riskfaktor när man investerar i DeFi-protokoll.

I och med att implementeringen av nya DeFi-protokoll blir alltmer komplex, riskerar det att investera i dessa protokoll sannolikt bara ökar.

OKEx Insights presenterar marknadsanalyser, djupgående funktioner, originalforskning & samlade nyheter från kryptopersonal.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map