การโจมตีด้วยแฟลช ValueDeFi ทำให้ DeFi ขาดการตรวจสอบสถานะที่สำคัญ

DeFi Digest ของ OKEx Insights เป็นการตรวจสอบอุตสาหกรรมการเงินแบบกระจายอำนาจทุกสัปดาห์.

ภาพรวมตลาด DeFi

ตลาดการเงินแบบกระจายอำนาจยังคงรักษาโมเมนตัมในช่วงขาขึ้นในสัปดาห์นี้เนื่องจากมูลค่ารวมที่ถูกล็อคในผลิตภัณฑ์ DeFi เพิ่มขึ้นเล็กน้อยจาก 13.65 พันล้านดอลลาร์เป็น 13.80 พันล้านดอลลาร์. 

ตลาดสินเชื่อแบบกระจายอำนาจขยายตัว 8% ในสัปดาห์นี้เนื่องจากปริมาณการกู้ยืมทั้งหมดสูงถึง 3.09 พันล้านดอลลาร์ Maker ได้รับประโยชน์จากการเติบโต Maker จึงเข้ามาแทนที่ Uniswap ในฐานะผู้นำ DeFi โดยมีระดับการครองตลาด 17% ในขณะเดียวกัน Compound ยังคงครองความเป็นผู้นำตลาดในขอบเขตการให้กู้ยืมโดยมีส่วนแบ่ง 55%.

ปริมาณการซื้อขายเฉลี่ยรายสัปดาห์ของการแลกเปลี่ยนแบบกระจายอำนาจเพิ่มขึ้น 20% และแตะระดับ 0.53 พันล้านดอลลาร์ในสัปดาห์นี้ ในขณะที่ Uniswap ยังคงครองความเป็นผู้นำด้านปริมาณการซื้อขายที่ 37% แต่ตำแหน่งที่มีสภาพคล่องที่ใหญ่ที่สุดถูกแทนที่ด้วย SushiSwap คู่แข่ง.

ปริมาณการซื้อขายรายสัปดาห์ของ DEX เพิ่มขึ้น 20% ที่มา: ดีไฟร์พัลส์ และ ดีแบงค์

การโจมตีด้วยแฟลช – ยืมตัวพิสูจน์ว่ามีปัญหาสำหรับ DeFi

การโจมตีด้วยเงินกู้แฟลชกลายเป็นเรื่องน่าปวดหัวสำหรับชุมชน DeFi เนื่องจากผู้รวบรวมผลตอบแทน ValueDeFi กลายเป็นเหยื่อรายที่ห้าในเวลาเพียงสามสัปดาห์ หลังจากขาดทุน 34 ล้านดอลลาร์จาก Harvest Finance มีการหาประโยชน์จากเงินกู้แฟลชจาก Akropolis, Origin Protocol และ Cheese Bank โดยขาดทุน 2 ล้านเหรียญ, 7 ล้านเหรียญ และ 3.3 ล้านเหรียญ, ตามลำดับ.

ValueDeFi ได้รับความเดือดร้อนจากการใช้ประโยชน์จากเงินกู้แฟลชมูลค่า 6 ล้านดอลลาร์เมื่อวันที่ 14 พฤศจิกายนจากข้อมูลของ Emiliano Bonassi แฮ็กเกอร์หมวกขาวที่อธิบายตัวเองว่าการใช้ประโยชน์จากเงินกู้แฟลชบนโปรโตคอล ValueDeFi คือ ซับซ้อนยิ่งขึ้น กว่าการโจมตีครั้งก่อนเนื่องจากมีการใช้แฟลชสองตัว แฮกเกอร์เอาไฟล์ เงินกู้แฟลช 80,000 ETH – มูลค่ากว่า 36 ล้านดอลลาร์ – และเงินกู้แฟลช 116 ล้านดอลลาร์ใน DAI จาก Uniswap เพื่อใช้ประโยชน์จากโปรโตคอล ValueDeFi ส่งผลให้ขาดทุนสุทธิ 6 ล้านดอลลาร์. 

ขั้นตอนโดยละเอียดสำหรับการโจมตีได้แสดงไว้ในบัญชี Twitter ของ Bonassi:

แฮกเกอร์ใช้เงินกู้แฟลชสองรายการใน Aave และ Uniswap เพื่อใช้ประโยชน์จากโปรโตคอล ValueDeFi ที่มา: ทวิตเตอร์ / @emilianobonassi

ตาม การวิเคราะห์ ดำเนินการโดย บริษัท ตรวจสอบ PeckShield สาเหตุของการใช้ประโยชน์จากโปรโตคอล ValueDeFi เป็นข้อบกพร่องในตัวมัน "MultiStablesVaults," ซึ่งใช้ Curve ในการวัดราคาสินทรัพย์ เนื่องจากข้อบกพร่องแฮ็กเกอร์จึงสามารถใช้เงินกู้แฟลชเพื่อควบคุมราคาของโทเค็น 3crv ได้ หลังจากนั้นพวกเขาสามารถเผาโทเค็นที่สร้างเสร็จแล้วจากพูลเพื่อแลกรับส่วนแบ่งที่ไม่สมส่วนเป็น 33.08 ล้านโทเค็น 3crv แทนที่จะเป็น 24.95 ล้านปกติ แฮกเกอร์ได้แลกโทเค็น 3crv สำหรับ DAI ซึ่งนำไปสู่การสูญเสีย 7.4 ล้านดอลลาร์ใน DAI (อย่างไรก็ตามแฮกเกอร์ได้คืนเงิน 2 ล้านดอลลาร์ให้กับผู้พัฒนาหลักของ ValueDeFi)

การดำเนินการแก้ไขโดย ValueDeFi

ทีม ValueDeFi เผยแพร่ไฟล์ การวิเคราะห์ชันสูตรพลิกศพ ซึ่งสรุปแนวทางแก้ไขทันทีและแผนระยะกลางเพื่อป้องกันการโจมตีด้วยเงินกู้แฟลชดังกล่าว.


ในขั้นตอนแรกเงินฝากในห้องนิรภัย MultiStables ถูกระงับ ในการคำนวณจำนวนค่าตอบแทนที่แน่นอนทีมงานได้ถ่ายภาพรวมของยอดคงเหลือของผู้ใช้ทุกคนก่อนการโจมตี ทีมยังวางแผนที่จะเปิดตัว MultiStables vault เวอร์ชันที่สอง ก่อนวางจำหน่ายห้องนิรภัยที่สองจะได้รับการตรวจสอบโดยผู้ตรวจสอบสาธารณะและผู้พัฒนา Solidity สาธารณะ.

เมื่อเทียบกับเวอร์ชันแรกของห้องนิรภัยเวอร์ชันที่สอง ใช้ฟีดราคาของ Chainlink เพื่อปรับปรุงคุณภาพข้อมูลให้ความปลอดภัยของ Oracle และจัดหาราคาสินทรัพย์ที่ถูกต้อง การใช้ oracles ราคาช่วยลดความเสี่ยงจากการบิดเบือนราคาที่เกิดจากการกู้ยืมโดยใช้แฟลชชั่วคราวเมื่อโปรโตคอล ValueDeFi ดึงข้อมูลจากกลุ่มสภาพคล่องบนห่วงโซ่ของ Curve หรือฟีดราคาที่สร้างขึ้นบนเครือข่ายอื่น ๆ นอกจากนี้เนื่องจากฟีดราคาของ Chainlink ไม่ได้รับการอัปเดตพร้อมกันในการทำธุรกรรมหลายรายการเงินกู้แฟลชจึงไม่มีความสามารถในการควบคุมราคา – เนื่องจากมีอยู่ในธุรกรรมเดียวเท่านั้น.

ทีมงานจะสร้างกองทุนชดเชยตามกองทุนของนักพัฒนากองทุนประกันและค่าธรรมเนียมส่วนหนึ่งที่รวบรวมโดยโปรโตคอล เพื่อชดเชยผู้ใช้ที่ขาดการเข้าถึงเงินทุนทีมงานได้สร้างโทเค็น IOU เพื่อแสดงเงินที่ยังไม่ได้คืนให้กับผู้ใช้ โทเค็น IOU มีอัตราเงินเฟ้อในตัวซึ่งจะมีอัตราผลตอบแทนร้อยละ 10 ต่อปีโดยอัตโนมัติทุกสัปดาห์.

ทีมงานยังคงหาทางแก้ไขกับแฮกเกอร์ต่อไป ตัวอย่างเช่นมัน เสนอ การแจกจ่าย DAI จำนวน 1 ล้านรายการเป็นค่าหัวและขอให้แฮกเกอร์คืนเงินที่เหลือให้กับผู้ใช้ที่ได้รับผลกระทบ แฮกเกอร์ยังไม่ตอบสนองต่อคำขอนี้.

บทเรียนที่เจ็บปวด

การหาประโยชน์จากการยืมแฟลชในโปรโตคอล DeFi อีกครั้งเผยให้เห็นการขาดความเข้าใจในกลไก DeFi ในหมู่ผู้เข้าร่วมตลาดบางราย ในโพรโทคอล ValueDeFi ใช้ประโยชน์จากการอธิบายตัวเอง พยาบาล และอายุ 19 ปีที่อธิบายตัวเอง นักเรียน สูญเสีย 100,000 ดอลลาร์และ 200,000 ดอลลาร์ตามลำดับ ในขณะที่แฮกเกอร์ส่งคืน 50,000 DAI และ 45,000 DAI ให้กับพยาบาลและนักเรียนตามลำดับพวกเขาเตือนผู้ใช้เกี่ยวกับความเสี่ยงที่เกิดจากการขาดความรู้และความระมัดระวัง.

แฮกเกอร์ในโปรโตคอล ValueDeFi ใช้ประโยชน์เตือนผู้ใช้เกี่ยวกับความเสี่ยงของการลงทุนในโปรโตคอลการทำฟาร์มผลตอบแทน ที่มา: Etherscan

ตัวอย่างข้างต้นแสดงให้เห็นว่าผู้เข้าร่วม DeFi บางคนพิจารณาเฉพาะผลตอบแทนปัจจุบันจากโปรโตคอลการทำฟาร์มผลผลิตโดยไม่ยอมรับความเสี่ยงที่มีอยู่ในสัญญาอัจฉริยะ แม้แต่ทีม ValueDeFi ก็ยังย้ำว่ามีองค์ประกอบของความเสี่ยงที่เกี่ยวข้องเสมอเมื่อลงทุนในโปรโตคอล DeFi.

ด้วยการปรับใช้โปรโตคอล DeFi ใหม่ที่ซับซ้อนมากขึ้นความเสี่ยงของการลงทุนในโปรโตคอลเหล่านี้มีแนวโน้มที่จะเพิ่มขึ้นเท่านั้น.

OKEx Insights นำเสนอการวิเคราะห์ตลาดคุณสมบัติเชิงลึกการวิจัยดั้งเดิม & ข่าวที่รวบรวมจากผู้เชี่ยวชาญด้านการเข้ารหัสลับ.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map