ตลาด DeFi ทะลุ 4 หมื่นล้านดอลลาร์เนื่องจาก Alpha Finance ประสบปัญหาเงินกู้แฟลชที่เลวร้ายที่สุดในประวัติศาสตร์

DeFi Digest ของ OKEx Insights เป็นการตรวจสอบรายสัปดาห์เกี่ยวกับอุตสาหกรรมการเงินแบบกระจายอำนาจ.

รูปภาพ DeFi Digest

ตลาดการเงินแบบกระจายอำนาจกลับมาทำจุดสูงสุดใหม่อีกครั้งจากด้านหลังของ BTC ที่แตะระดับ 50,000 ดอลลาร์ในการแลกเปลี่ยนทั่วโลก มูลค่ารวมที่ถูกล็อคในผลิตภัณฑ์ DeFi ทะลุ 4 หมื่นล้านดอลลาร์ในวันที่ 12 กุมภาพันธ์และมีการเพิ่มขึ้น 8% ต่อสัปดาห์.

การเพิ่มขึ้นอย่างต่อเนื่องของตลาด DeFi นั้นเห็นได้ชัดในวงเงินกู้ซึ่งปริมาณการกู้ยืมทั้งหมดเพิ่มขึ้น 13% เป็น 7.23 พันล้านดอลลาร์ Compound ครองตลาดสินเชื่อด้วยส่วนแบ่ง 55%.

ปริมาณการซื้อขายเฉลี่ยรายสัปดาห์ของการแลกเปลี่ยนแบบกระจายอำนาจลดลงเล็กน้อยเหลือ 2.28 พันล้านดอลลาร์ ณ เวลาที่เขียนนี้ Uniswap – ซึ่งเมื่อเร็ว ๆ นี้ ประมวลผล มีปริมาณสะสมมากกว่า 100 พันล้านดอลลาร์ – ยังคงเป็นผู้นำ DEX ด้วยส่วนแบ่งตลาด 38% Aave เปลี่ยน SushiSwap เป็นกลุ่มสภาพคล่องที่ใหญ่ที่สุดในสัปดาห์นี้โดยมีมูลค่ารวมอยู่ที่ 1.52 พันล้านดอลลาร์.

ประเภท สถิติสำคัญ จำนวน % การเปลี่ยนแปลงรายสัปดาห์
โดยรวม มูลค่ารวมที่ล็อค (USD) 39.94 พันล้านดอลลาร์ 8%
การครอบงำตลาด (%) ผู้สร้าง (16%)
การให้กู้ยืม จำนวนเงินกู้ยืมทั้งหมด. 7.23 พันล้านดอลลาร์ 13%
การครอบงำตลาด (%) สารประกอบ (55%)
DEX ค่าเฉลี่ยรายสัปดาห์ ปริมาณการซื้อขาย. 2.28 พันล้านเหรียญ -6%
การครอบงำตลาด (%) Uniswap (38%)
การทำฟาร์มที่ให้ผลผลิต สระว่ายน้ำสภาพคล่องที่ใหญ่ที่สุด Aave (1.52 พันล้านดอลลาร์)

สัปดาห์นี้ทั้งมูลค่ารวมที่ถูกล็อคและปริมาณการยืมเพิ่มขึ้นในขณะที่ ปริมาณการซื้อขาย DEX รายสัปดาห์ ลดลง 6% ที่มา: DeFi Pulse และ DeBank

การโจมตีแฟลชเงินกู้ที่ใหญ่ที่สุดของ DeFi

ในขณะที่ผู้เข้าร่วมตลาด DeFi ได้รับความสนใจเกี่ยวกับเหตุการณ์สำคัญของ TVL มูลค่า 4 หมื่นล้านดอลลาร์ในสัปดาห์นี้ Alpha Finance ประสบกับการโจมตีด้วยเงินกู้แฟลชซึ่งนำไปสู่การสูญเสียประมาณ 38 ล้านดอลลาร์ สิ่งนี้แซงหน้าการแฮ็กของ Harvest Finance ที่ 34 ล้านดอลลาร์และกลายเป็นการโจมตีด้วยเงินกู้แฟลชที่ใหญ่ที่สุดในประวัติศาสตร์ที่ค่อนข้างสั้นของ DeFi.

ทีมการเงินอัลฟ่าก่อน ประกาศ การโจมตีด้วยเงินกู้แฟลชเมื่อวันที่ 13 กุมภาพันธ์ทีมงานได้ปล่อยไฟล์ ชันสูตรพลิกศพ ในวันถัดไปเพื่อแบ่งปันรายละเอียดของการใช้ประโยชน์จาก Alpha Homora V2.

การชันสูตรพลิกศพระบุว่าผู้โจมตีเปิดช่องโหว่ที่ซับซ้อนซึ่งเกี่ยวข้องกับธุรกรรมมากกว่าเก้ารายการซึ่งสรุปไว้ใน 13 ขั้นตอน ทีมงานยังระบุช่องโหว่ต่อไปนี้ในสัญญาอัจฉริยะ Alpha Homora V2 ที่ทำให้การใช้ประโยชน์เป็นไปได้:

  1. HomoraBankv2 มีพูล sUSD ที่อยู่ระหว่างการเตรียมการและไม่ได้เผยแพร่สู่สาธารณะ สระว่ายน้ำ sUSD ไม่มีสภาพคล่องและผู้โจมตีสามารถขยายทั้งจำนวนหนี้ทั้งหมดและส่วนแบ่งหนี้ทั้งหมด.
  2. ฟังก์ชัน fixReserve สามารถเพิ่มหนี้ทั้งหมดได้โดยไม่ต้องเพิ่มส่วนแบ่งหนี้ทั้งหมด ผู้ใช้ทุกคนสามารถเรียกใช้ฟังก์ชันนี้ได้.
  3. มีการคำนวณการปัดเศษผิดพลาดในการคำนวณฟังก์ชันการยืม สิ่งนี้ใช้ได้เฉพาะเมื่อผู้โจมตีเป็นผู้ยืม แต่เพียงผู้เดียว.
  4. HomoraBankv2 ยอมรับการสะกดที่กำหนดเองจากผู้ใช้เนื่องจากจำนวนหลักประกันมากกว่าจำนวนเงินที่ยืม (คาถาใน Alpha Finance คล้ายกับกลยุทธ์ใน Yearn Finance)

ในการเปิดการโจมตีแฟลชเงินกู้ที่ซับซ้อนผู้โจมตีก่อน สร้างคาถา ใน Alpha Homora V2 จากนั้นผู้โจมตีได้เปลี่ยน ETH เป็น sUSD ใน Uniswap และฝาก sUSD ไปยัง Iron Bank of Cream Finance ในการจัดการพูล sUSD ผู้โจมตีได้ยืมเงิน 1,000e18 sUSD และข้ามการตรวจสอบความปลอดภัยโดย ฝาก โทเค็นกลุ่มสภาพคล่องของ UNI-WETH เป็นหลักประกัน ผู้โจมตีได้รับส่วนแบ่งหนี้ 1,000e18 sUSD เป็นการตอบแทน ผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่หนึ่งและสี่ที่กล่าวถึงก่อนหน้านี้เพื่อดำเนินการตามขั้นตอนเหล่านี้.

ในขณะที่ผู้โจมตีเป็นผู้กู้เพียงรายเดียวในการหาประโยชน์จาก Alpha Finance นี้พวกเขาใช้ประโยชน์จากการคำนวณการปัดเศษในฟังก์ชันการยืมโดย การชำระคืน ส่วนแบ่ง sUSD ของหนึ่งน้อยกว่าจำนวนเงินกู้ยืมทั้งหมด จากนั้นผู้โจมตี ดำเนินการ ฟังก์ชัน fixReserve ในธนาคาร sUSD ซึ่งนำไปสู่หนี้ค้างรับ 19,709 พันล้าน USD เนื่องจากส่วนแบ่งหนี้ทั้งหมดยังคงเป็นหนึ่ง.

ผู้โจมตีทำขั้นตอนข้างต้นซ้ำ 26 ครั้งและเพิ่มจำนวนเงินที่ยืมไปเป็นสองเท่าในแต่ละครั้ง เนื่องจากการกู้ยืมแต่ละครั้งมีค่าน้อยกว่ามูลค่าหนี้ทั้งหมดหนึ่งรายการจึงนำไปสู่ส่วนแบ่งการกู้ยืมที่สอดคล้องกันเป็นศูนย์และโปรโตคอลไม่สามารถรับรู้การกู้ยืมได้ จากนั้นผู้โจมตีได้รับเงินกู้แฟลชจาก Aave และฟอกเงินใน Curve.

ปฏิกิริยาของ Alpha Finance


ในขณะที่เขียนผู้โจมตี จัดขึ้น 10,925 ETH ในที่อยู่กระเป๋าเงินของพวกเขา ในขณะที่ผู้โจมตีมี ฝาก เหรียญ stablecoin มูลค่ากว่า 10 ล้านเหรียญภายใต้มาตรวัดของ Curve พวกเขาคืนเงิน 1,000 ETH ให้กับผู้พัฒนา Alpha Homora V2 และ Cream V2 ตามลำดับ ETH ส่วนน้อยที่ถูกขโมยถูกส่งไปยัง Tornado และ Gitcoin Grant ทีม Alpha ประเมินการสูญเสียเงินทุนทั้งหมด 38 ล้านดอลลาร์.

ทีม Alpha เน้นว่าการยืมเงินจากผู้โจมตีเป็นหนี้ระหว่างแพลตฟอร์ม Alpha Homora V2 และ Cream V2 ซึ่งหมายความว่าเงินของผู้ใช้ไม่ได้เกี่ยวข้องกับเหตุการณ์นี้ ทีมการเงิน Alpha ดำเนินการทันทีดังต่อไปนี้เพื่อหยุดการใช้ประโยชน์:

  • มันได้ลบฟังก์ชันการยืมและการชำระคืนของ sUSD ทำให้ผู้ใช้ไม่สามารถเปิดสถานะเลเวอเรจใหม่ได้.
  • ทำให้มั่นใจได้ว่าสามารถดำเนินการได้เฉพาะคาถาที่อยู่ในรายการสีขาวเท่านั้น.
  • ทำให้มั่นใจได้ว่ามีเพียงผู้ว่าราชการจังหวัดเท่านั้นที่สามารถดำเนินการ "แก้ไข" ฟังก์ชัน.
  • มันติดต่อหลายฝ่ายเพื่อขึ้นบัญชีดำที่อยู่ของผู้โจมตี.

ในขณะที่ผู้ให้บริการสภาพคล่องไม่สามารถกู้ยืมใน Alpha แต่ก็ยังสามารถเพิ่มหลักประกันชำระหนี้ปิดสถานะและเก็บเกี่ยวโทเค็นที่ทำฟาร์มได้ ในทางกลับกันผู้ให้กู้ใน Alpha Finance สามารถให้ยืมและถอนทรัพย์สินได้ตามปกติ.

เพื่อลดผลกระทบด้านลบที่เกิดขึ้นกับผู้ใช้ของ Alpha Finance ทีมงานจึงร่วมมือกับ Andre Cronje ผู้ก่อตั้ง Yearn Finance และทีม Cream Finance เพื่อแก้ไขหนี้.

ในฐานะโซลูชันระยะกลางถึงระยะยาวทีม Alpha Finance ยังคงแสวงหาผู้ตรวจสอบภายนอกและนักพัฒนาที่เชื่อถือได้เพื่อตรวจสอบสัญญาอัจฉริยะของตน ทีมงานกำลังพิจารณาเปิดตัวโปรแกรมบั๊กใหม่และสร้างสรรค์สำหรับโปรโตคอล DeFi อื่น ๆ ที่จะปฏิบัติตาม.

OKEx Insights นำเสนอการวิเคราะห์ตลาดคุณสมบัติเชิงลึกและข่าวสารที่รวบรวมจากผู้เชี่ยวชาญด้านการเข้ารหัสลับ.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map