Il mercato DeFi supera i 40 miliardi di dollari mentre Alpha Finance subisce il peggior attacco di prestito flash della storia
Il DeFi Digest di OKEx Insights è un esame settimanale del settore della finanza decentralizzata.
Il mercato finanziario decentralizzato ha nuovamente raggiunto nuovi massimi grazie a BTC che ha raggiunto il traguardo di $ 50.000 negli scambi globali. Il valore totale bloccato nei prodotti DeFi ha superato per la prima volta i 40 miliardi di dollari il 12 febbraio e ha registrato un guadagno settimanale dell’8%.
Il continuo aumento del mercato DeFi è stato evidente nella sfera del prestito, dove il volume totale dei prestiti è aumentato del 13% a $ 7,23 miliardi. Il composto ha dominato il mercato dei prestiti con una quota del 55%.
Il volume degli scambi medi settimanali degli scambi decentralizzati è sceso leggermente a $ 2,28 miliardi, al momento della stesura di questo documento. Uniswap – che di recente elaborato un volume cumulativo di oltre $ 100 miliardi – continua a guidare i DEX con una quota di mercato del 38%. Aave ha sostituito SushiSwap come il più grande pool di liquidità questa settimana, con il suo valore totale bloccato pari a $ 1,52 miliardi.
Categoria | Statistiche chiave | Quantità | Cambio% settimanale |
Complessivamente | Valore totale bloccato (USD) | $ 39,94 miliardi | 8% |
Dominanza del mercato (%) | Creatore (16%) | ||
Prestito | Vol. Prestiti totali. | $ 7,23 miliardi | 13% |
Dominanza del mercato (%) | Composto (55%) | ||
DEX | Media settimanale trading vol. | $ 2,28 miliardi | -6% |
Dominanza del mercato (%) | Uniswap (38%) | ||
Produrre agricoltura | Il più grande pool di liquidità | Aave ($ 1,52 miliardi) |
Questa settimana, sia il valore totale bloccato che i volumi dei prestiti sono aumentati, mentre volumi di scambio DEX settimanali è sceso del 6%. Fonte: DeFi Pulse e DeBank
Il più grande attacco di prestito flash di DeFi
Mentre i partecipanti al mercato DeFi sono stati entusiasti del traguardo TVL di $ 40 miliardi questa settimana, Alpha Finance ha subito un attacco di prestito flash che ha portato a una perdita approssimativa di $ 38 milioni. Questo ha superato l’attacco di $ 34 milioni di Harvest Finance ed è diventato il più grande attacco di prestito flash nella storia relativamente breve di DeFi.
Prima il team di Alpha Finance dichiarato l’attacco in prestito flash del 13 febbraio. Il team ha rilasciato un file post mortem il giorno successivo per condividere i dettagli dell’exploit Alpha Homora V2.
L’autopsia ha affermato che l’aggressore ha lanciato un exploit complesso che coinvolge più di nove transazioni, che è stato riassunto in 13 passaggi. Il team ha anche elencato le seguenti scappatoie nello smart contract Alpha Homora V2 che hanno reso possibile l’exploit:
- HomoraBankv2 aveva un pool sUSD che era in preparazione e non pubblicato pubblicamente. Il pool sUSD non aveva liquidità e l’aggressore poteva gonfiare sia l’importo totale del debito che la quota del debito totale.
- La funzione ResolutionReserve potrebbe aumentare il debito totale senza aumentare la quota del debito totale. Questa funzione può essere eseguita da qualsiasi utente.
- Si è verificato un errore di calcolo dell’arrotondamento nel calcolo della funzione di prestito. Questo era applicabile solo quando l’aggressore era l’unico mutuatario.
- HomoraBankv2 accettava qualsiasi incantesimo personalizzato dagli utenti, dato che l’ammontare della garanzia è maggiore dell’importo del prestito. (Un incantesimo in Alpha Finance è simile a una strategia in Yearn Finance.)
Per lanciare il complesso attacco di prestito flash, l’attaccante prima ha creato un incantesimo in Alpha Homora V2. L’attaccante ha quindi scambiato ETH con sUSD su Uniswap e ha depositato sUSD alla Iron Bank of Cream Finance. Per manipolare il pool sUSD, l’autore dell’attacco ha preso in prestito 1.000e18 sUSD e ha aggirato il controllo di sicurezza di depositare il token del pool di liquidità di UNI-WETH come garanzia. L’aggressore ha ottenuto in cambio quote di debito di 1.000e18 sUSD. L’autore dell’attacco ha sfruttato la prima e la quarta scappatoia menzionate in precedenza per eseguire questi passaggi.
Sebbene l’aggressore fosse l’unico mutuatario in questo exploit di Alpha Finance, ha capitalizzato l’errore di calcolo dell’arrotondamento nella funzione di prestito ripagando la quota sUSD di uno in meno rispetto all’importo totale del prestito. L’attaccante quindi eseguito la funzione ResolutionReserve sulla banca sUSD, che ha portato a un debito maturato di 19.709 miliardi di sUSD poiché la quota del debito totale è rimasta una.
L’aggressore ha ripetuto le procedure di cui sopra 26 volte e ogni volta ha raddoppiato l’importo preso in prestito. Poiché ciascun prestito era inferiore di uno al valore totale del debito, ciò ha portato a una quota di prestito corrispondente pari a zero e il protocollo non è stato in grado di riconoscere il prestito. L’attaccante ha quindi ottenuto prestiti flash da Aave e ha riciclato i fondi in Curve.
La reazione di Alpha Finance
Al momento della scrittura, l’attaccante tenuto 10.925 ETH nel loro indirizzo di portafoglio. Mentre l’attaccante ha depositato Stablecoin per un valore di oltre $ 10 milioni sotto il livello di Curve, hanno restituito 1.000 ETH rispettivamente agli sviluppatori Alpha Homora V2 e Cream V2. Una piccola parte dell’ETH rubato è stata inviata a Tornado e Gitcoin Grant. Il team Alpha ha stimato una perdita totale del fondo di $ 38 milioni.
Il team Alpha ha sottolineato che il prestito dagli aggressori era un debito tra le piattaforme Alpha Homora V2 e Cream V2, il che significa che i fondi degli utenti non erano coinvolti in questo incidente. Il team di Alpha Finance ha intrapreso le seguenti azioni immediate per fermare l’exploit:
- Ha rimosso la funzionalità di prestito e rimborso di sUSD, impedendo agli utenti di aprire nuove posizioni con leva.
- Ha assicurato che solo gli incantesimi della lista bianca potessero essere eseguiti.
- Ha garantito che solo il governatore potesse eseguire il "Risolvi Riservare" funzione.
- Ha contattato varie parti per inserire nella lista nera l’indirizzo dell’aggressore.
Sebbene i fornitori di liquidità non possano prendere in prestito in Alpha, possono comunque aggiungere garanzie, rimborsare il debito, chiudere posizioni e raccogliere i token coltivati. I prestatori di Alpha Finance, d’altra parte, possono prestare e ritirare beni, come al solito.
Per mitigare l’impatto negativo portato agli utenti di Alpha Finance, il team sta collaborando con il fondatore di Yearn Finance Andre Cronje e il team di Cream Finance per risolvere il debito.
Come soluzione a medio-lungo termine, il team di Alpha Finance ha continuato a cercare revisori esterni e sviluppatori di fiducia per rivedere i loro contratti intelligenti. Il team sta anche valutando la possibilità di lanciare nuovi e creativi programmi di bug bounty per altri protocolli DeFi da seguire.
OKEx Insights presenta analisi di mercato, funzionalità approfondite e notizie curate dai professionisti della crittografia.