Gli attacchi di prestito flash causano una perdita di 34 milioni di dollari, ma possono essere fermati?
Il DeFi Digest di OKEx Insights è un esame settimanale del settore della finanza decentralizzata.
Il mercato della finanza decentralizzata ha visto un leggero calo la scorsa settimana poiché il valore totale bloccato nei prodotti DeFi è sceso da $ 12,38 miliardi a $ 11,04 miliardi.
Uniswap ha mantenuto la sua posizione di leader di mercato con una quota di mercato del 24% del valore totale in USD bloccato. L’exchange decentralizzato aveva anche il più grande pool di liquidità e ha mantenuto la sua posizione dominante sul volume degli scambi del 65%.
Spinto dall’hack da 34 milioni di dollari di Harvest Finance, il volume degli scambi di DEX ha raggiunto i 3,4 miliardi di dollari il 26 ottobre.
Nell’ambito del prestito decentralizzato, Compound ha continuato a primeggiare, con una quota di mercato del 54%.
Il valore totale bloccato in DeFi è diminuito mentre il volume settimanale di DEX è esploso, a seguito dell’hacking di Harvest Finance. Fonti: DeFi Pulse e DeBank
Contents
Il token KP3R di Keep3r Network mantiene vivo l’hype DeFi
Nonostante il leggero calo del valore totale bloccato, l’hype nel mercato DeFi è rimasto vivo dopo il lancio di un nuovo token da parte di Andre Cronje. Il fondatore di yearn.finance ha annunciato KP3R, il token per il suo ultimo progetto – Ad esempio, Keep3r Network, un mercato decentralizzato per lavori tecnici.
Analogamente ai suoi progetti precedenti, come eminence.finance, Cronje ha sottolineato che keep3r.network è ancora in fase di beta-testing. Tuttavia, i partecipanti al mercato erano entusiasti dell’ultimo protocollo di Cronje e di KP3R salito alle stelle da $ 25 a $ 350 su Uniswap entro poche ore dal lancio.
L’attacco di prestito flash da 34 milioni di dollari di Harvest Finance
Dall’altro lato della sfera DeFi, le vulnerabilità di sicurezza nei protocolli DeFi rimangono una preoccupazione dopo che Harvest Finance ha perso $ 34 milioni.
Harvest Finance è una piattaforma di produzione agricola che fornisce servizi di monitoraggio APY, sviluppo di strategie e costi del gas per gli agricoltori. Il 26 ottobre il protocollo ha perso 34 milioni di dollari dagli attacchi di prestito flash e il suo valore totale è stato bloccato immerso di oltre il 60%.
Cos’è un prestito flash?
Un prestito flash è un’innovazione di finanza decentralizzata avviata dal protocollo di prestito DeFi Aave a gennaio. Il prodotto consente agli utenti di prendere in prestito prestiti senza costituire alcuna garanzia. Un prestito flash non esegue alcun controllo del credito sui mutuatari.
I prestiti flash hanno guadagnato popolarità tra gli arbitraggisti, poiché possono eseguire i seguenti passaggi per ottenere profitti rapidi:
- Prendere in prestito prestiti.
- Usa i prestiti per acquistare token a un prezzo inferiore su un DEX.
- Rivendi gli stessi token a un prezzo più alto su un altro DEX.
- Rimborsa il prestito e gli interessi.
- Mantieni il profitto.
Le suddette azioni sono condotte all’interno della stessa transazione on-chain. Per eseguire queste transazioni, l’arbitraggio deve codificare in anticipo tutti i passaggi nel contratto intelligente. Se il mutuatario non è in grado di rimborsare il prestito in tempo, nessuna delle transazioni verrà eseguita. (Questo è coerente con il transazioni atomiche su Ethereum – se una delle transazioni concatenate fallisce, la catena viene interrotta e l’accordo codificato nello smart contract non viene rispettato. Pertanto, le transazioni nello smart contract non verranno eseguite.)
Cosa è successo a Harvest Finance?
Mentre i prestiti flash forniscono una nuova fonte di profitto nella sfera della finanza decentralizzata, i malintenzionati tentano di utilizzare i fondi presi in prestito per manipolare il mercato DeFi, noti come attacchi di prestito flash.
Nel caso di Harvest Finance, gli hacker hanno preso una serie di azioni per i profitti di arbitraggio e manipolato il mercato DeFi:
- Gli hacker hanno prima acquistato 50 milioni di USDC e 18,3 milioni di USDT prestiti flash da Uniswap.
- Gli hacker hanno quindi convertito 17.222 milioni di USDT in USDC tramite Y pool, un pool di liquidità in Curve Finance. La massiccia conversione da USDT a USDC ha fatto aumentare il prezzo di USDC e l’importo di USDC convertito è diventato solo di 17,216 milioni.
- Gli hacker hanno quindi depositato 49,97 milioni di USDC nel caveau USDC di Harvest Finance e hanno ricevuto 51,46 milioni di fUSDC. A seguito del deposito, il prezzo di USDC per azione è diminuito dell’1% (da 0,98 a 0,971). Poiché la variazione di valore non ha superato la soglia del 3%, le transazioni sono state eseguite e non sono state ripristinate.
- Gli hacker hanno convertito tutti i fUSDC in USDC con un profitto di 619K USDC. Quindi, hanno ripetuto la stessa transazione più volte per ottenere rapidi profitti.
- Gli hacker hanno trasferito 13 milioni di USDC e 11 milioni di USDT ai loro indirizzi. Quindi, hanno trasferito 1,76 milioni di USDC e 718.000 USDT al team di Harvest Finance.
Secondo il team di Harvest Finance, i prezzi delle azioni del caveau USDC e del caveau USDT sono scesi rispettivamente del 13,8% e del 13,7%, combinando per una perdita totale di 34 milioni di dollari. Il team ha sottolineato che gli attaccanti hanno sfruttato l’effetto delle perdite temporanee nel pool Y in Curve. Gli aggressori hanno quindi depositato fondi nel caveau di Harvest Finance a un prezzo vantaggioso e sono usciti dal caveau a un prezzo regolare delle azioni per catturare i profitti. Per le perdite degli utenti, il team di Harvest Finance ha distribuito i fondi restituiti alle vittime e ha lanciato una taglia di $ 100.000 per coloro che potrebbero aiutare a restituire i fondi.
Nel frattempo, Uniswap ha raggiunto un volume di scambi record di $ 2,19 miliardi. Curva anche superato $ 2 miliardi di volume di scambi. Ciò è probabilmente dovuto agli hacker di Harvest Finance che utilizzano questi market maker automatizzati per trasferire i propri fondi.
Il volume giornaliero su Uniswap ha raggiunto il massimo storico in seguito all’hacking di Harvest Finance. Fonte: Uniswap
Gli attacchi di prestito flash possono essere fermati?
Il team di Harvest Finance ha identificato alcune possibili soluzioni per prevenire gli attacchi di prestito flash. Il primo è implementare un meccanismo di commit-and-reveal per i depositi. Questo meccanismo renderebbe impossibili gli attacchi di prestito flash disabilitando depositi e prelievi nella stessa transazione. Per gli utenti, ciò significa che i depositi e i prelievi vengono registrati in transazioni diverse e per questo pagherebbero commissioni sul gas leggermente più alte. Il team prevede inoltre di impostare una soglia inferiore per un controllo più rigoroso dell’arbitraggio sui depositi, che aumenta i costi economici per lanciare attacchi di prestito flash.
Per migliorare la scoperta dei prezzi, alcuni protocolli DeFi possono utilizzare oracoli di prezzo esterni, come Chainlink o Maker. Tuttavia, se il prezzo delle risorse nel protocollo DeFi è diverso da quello dell’oracolo, l’asset vault può essere esposto ad arbitraggi e attacchi di prestito flash. Il team di Harvest Finance ritiene che gli oracoli blockchain non siano una soluzione per loro a causa del design del sistema.
OKEx Insights presenta analisi di mercato, funzionalità approfondite, ricerche originali & notizie curate da professionisti delle criptovalute.