Thị trường DeFi vượt 40 tỷ đô la khi Alpha Finance hứng chịu cuộc tấn công cho vay chớp nhoáng tồi tệ nhất trong lịch sử

OKEx Insights ‘DeFi Digest là cuộc kiểm tra hàng tuần về ngành tài chính phi tập trung.

Hình ảnh DeFi Digest

Thị trường tài chính phi tập trung một lần nữa đạt mức cao mới sau khi BTC chạm mốc 50.000 đô la trên các sàn giao dịch toàn cầu. Tổng giá trị bị khóa trong các sản phẩm DeFi lần đầu tiên vượt qua 40 tỷ đô la vào ngày 12 tháng 2 và đã tăng 8% hàng tuần.

Sự gia tăng liên tục của thị trường DeFi đã thể hiện rõ trong lĩnh vực cho vay, nơi tổng khối lượng vay tăng 13% lên 7,23 tỷ đô la. Compound thống trị thị trường cho vay với 55% thị phần.

Khối lượng giao dịch trung bình hàng tuần của các sàn giao dịch phi tập trung giảm nhẹ xuống còn 2,28 tỷ đô la, tính đến thời điểm viết bài này. Uniswap – mà gần đây xử lý khối lượng tích lũy hơn 100 tỷ đô la – tiếp tục dẫn đầu các DEX với 38% thị phần. Aave đã thay thế SushiSwap trở thành nhóm thanh khoản lớn nhất trong tuần này, với tổng giá trị bị khóa lên tới 1,52 tỷ đô la.

thể loại Thống kê chính Số tiền % Thay đổi hàng tuần
Nhìn chung Tổng giá trị bị khóa (USD) 39,94 tỷ USD số 8%
Sự thống trị thị trường (%) Nhà sản xuất (16%)
Cho vay Tổng khối lượng vay. 7,23 tỷ đô la 13%
Sự thống trị thị trường (%) Hợp chất (55%)
DEX Trung bình hàng tuần giao dịch vol. 2,28 tỷ đô la -6%
Sự thống trị thị trường (%) Hoán đổi (38%)
Năng suất canh tác Nhóm thanh khoản lớn nhất Aave (1,52 tỷ USD)

Tuần này, cả tổng giá trị bị khóa và khối lượng đi vay đều tăng, trong khi khối lượng giao dịch DEX hàng tuần giảm 6%. Nguồn: DeFi Pulse và DeBank

Cuộc tấn công cho vay nhanh lớn nhất của DeFi

Trong khi những người tham gia thị trường DeFi đã thổi phồng về cột mốc TVL 40 tỷ đô la trong tuần này, Alpha Finance đã phải chịu một cuộc tấn công cho vay chớp nhoáng dẫn đến khoản lỗ khoảng 38 triệu đô la. Điều này đã vượt qua vụ hack 34 triệu đô la của Harvest Finance và trở thành vụ tấn công cho vay nhanh lớn nhất trong lịch sử tương đối ngắn gọn của DeFi.

Nhóm Alpha Finance đầu tiên khai báo cuộc tấn công cho mượn chớp nhoáng vào ngày 13 tháng 2. Nhóm đã phát hành một khám nghiệm tử thi ngày hôm sau để chia sẻ chi tiết về khai thác Alpha Homora V2.

Khám nghiệm tử thi cho biết kẻ tấn công đã thực hiện một cuộc khai thác phức tạp liên quan đến hơn chín giao dịch, được tóm tắt trong 13 bước. Nhóm nghiên cứu cũng liệt kê các lỗ hổng sau trong hợp đồng thông minh Alpha Homora V2 khiến việc khai thác có thể thực hiện được:

  1. HomoraBankv2 có một nhóm sUSD đang được chuẩn bị và chưa được phát hành công khai. Nhóm sUSD không có tính thanh khoản và kẻ tấn công có thể thổi phồng cả tổng số nợ và tổng phần nợ.
  2. Chức năng giải quyết Reserve có thể làm tăng tổng nợ mà không làm tăng tổng nợ. Chức năng này có thể được thực thi bởi bất kỳ người dùng nào.
  3. Đã có một phép tính sai làm tròn trong phép tính hàm vay. Điều này chỉ áp dụng khi kẻ tấn công là người vay duy nhất.
  4. HomoraBankv2 chấp nhận bất kỳ câu thần chú tùy chỉnh nào từ người dùng, vì số lượng tài sản thế chấp lớn hơn số tiền vay. (Một câu thần chú trong Alpha Finance tương tự như một chiến lược trong Yearn Finance.)

Để khởi động cuộc tấn công cho vay nhanh phức tạp, trước tiên kẻ tấn công tạo ra một câu thần chú trong Alpha Homora V2. Sau đó, kẻ tấn công đã đổi ETH sang sUSD trên Uniswap và gửi sUSD vào Iron Bank of Cream Finance. Để thao túng nhóm sUSD, kẻ tấn công đã vay 1.000e18 sUSD và vượt qua kiểm tra bảo mật bằng cách ký gửi mã thông báo nhóm thanh khoản của UNI-WETH làm tài sản thế chấp. Kẻ tấn công đã thu được 1.000e18 sUSD cổ phiếu nợ để đổi lại. Kẻ tấn công đã tận dụng lỗ hổng đầu tiên và thứ tư được đề cập trước đó để thực hiện các bước này.

Trong khi kẻ tấn công là người đi vay duy nhất trong khai thác Alpha Finance này, họ đã tận dụng tính toán sai lầm làm tròn trong hàm vay bằng cách trả nợ tỷ lệ sUSD của một phần nhỏ hơn tổng số tiền đi vay. Kẻ tấn công sau đó Thực thi Chức năng giải quyếtReserve trên ngân hàng sUSD, dẫn đến khoản nợ tích lũy là 19.709 tỷ sUSD vì tổng phần nợ vẫn là một.

Kẻ tấn công đã lặp lại các thủ tục trên 26 lần và mỗi lần nhân đôi số tiền đã vay. Vì mỗi khoản vay nhỏ hơn một lần so với tổng giá trị nợ, điều này dẫn đến tỷ lệ đi vay tương ứng bằng 0 và giao thức không thể nhận ra khoản vay. Kẻ tấn công sau đó đã có được các khoản vay nhanh từ Aave và rửa tiền trong Curve.

Phản ứng của Alpha Finance


Tính đến thời điểm viết bài, kẻ tấn công được tổ chức 10,925 ETH trong địa chỉ ví của họ. Trong khi kẻ tấn công có ký gửi hơn 10 triệu đô la ổn định theo tiêu chuẩn của Curve, họ đã trả lại 1.000 ETH cho các nhà phát triển Alpha Homora V2 và Cream V2, tương ứng. Một phần nhỏ ETH bị đánh cắp đã được gửi đến Tornado và Gitcoin Grant. Nhóm Alpha ước tính tổng khoản lỗ của quỹ là 38 triệu đô la.

Nhóm Alpha nhấn mạnh rằng khoản vay từ những kẻ tấn công là một khoản nợ giữa nền tảng Alpha Homora V2 và Cream V2, có nghĩa là tiền của người dùng không liên quan đến vụ việc này. Nhóm Alpha Finance đã thực hiện các hành động ngay lập tức sau đây để tạm dừng việc khai thác:

  • Nó đã loại bỏ chức năng vay và trả của sUSD, ngăn người dùng mở các vị thế đòn bẩy mới.
  • Nó đảm bảo rằng chỉ những phép thuật được liệt kê trong danh sách trắng mới có thể được thực thi.
  • Nó đảm bảo rằng chỉ có thống đốc mới có thể thực hiện "giải quyết" chức năng.
  • Nó đã liên hệ với nhiều bên khác nhau để liệt kê địa chỉ của kẻ tấn công.

Trong khi các nhà cung cấp thanh khoản không thể vay trong Alpha, họ vẫn có thể thêm tài sản thế chấp, trả nợ, đóng các vị thế và thu hoạch các mã thông báo được nuôi của họ. Mặt khác, những người cho vay ở Alpha Finance có thể cho vay và rút tài sản như thường lệ.

Để giảm thiểu tác động tiêu cực mang lại cho người dùng của Alpha Finance, nhóm đang hợp tác với người sáng lập Yearn Finance Andre Cronje và nhóm Cream Finance để giải quyết khoản nợ.

Là một giải pháp trung và dài hạn, nhóm Alpha Finance tiếp tục tìm kiếm các chuyên gia đánh giá bên ngoài và các nhà phát triển đáng tin cậy để xem xét các hợp đồng thông minh của họ. Nhóm cũng đang xem xét tung ra các chương trình tiền thưởng lỗi mới và sáng tạo để các giao thức DeFi khác tuân theo.

OKEx Insights trình bày các phân tích thị trường, các tính năng chuyên sâu và tin tức được tuyển chọn từ các chuyên gia tiền điện tử.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map