banner
banner

L’attacco di prestito flash ValueDeFi mette in luce una mancanza critica di due diligence nella DeFi

Il DeFi Digest di OKEx Insights è un esame settimanale del settore della finanza decentralizzata.

Istantanea del mercato DeFi

Il mercato finanziario decentralizzato ha mantenuto il suo slancio rialzista questa settimana poiché il valore totale bloccato nei prodotti DeFi è aumentato leggermente da $ 13,65 miliardi a $ 13,80 miliardi. 

Il mercato dei prestiti decentralizzati è cresciuto dell’8% questa settimana poiché il volume totale dei prestiti ha raggiunto i 3,09 miliardi di dollari. Beneficiando della crescita, Maker ha sostituito Uniswap come leader globale della DeFi, con un livello di dominio del mercato del 17%. Compound, nel frattempo, ha mantenuto il proprio predominio di mercato in ambito creditizio, con una quota del 55%.

Il volume di scambi medi settimanali degli scambi decentralizzati è aumentato del 20% e ha raggiunto $ 0,53 miliardi questa settimana. Mentre Uniswap ha mantenuto la sua posizione dominante sul volume degli scambi del 37%, la sua posizione come il più grande pool di liquidità è stata sostituita dal suo principale concorrente, SushiSwap.

Il volume degli scambi settimanali di DEX è cresciuto del 20%. Fonte: DeFi Pulse e DeBank

Gli attacchi di prestito flash si sono rivelati problematici per la DeFi

Gli attacchi di prestito flash sono diventati un mal di testa per la comunità DeFi poiché l’aggregatore di rendimenti ValueDeFi è diventato la quinta vittima in sole tre settimane. Dopo la perdita di 34 milioni di dollari da Harvest Finance, ci sono stati exploit di prestiti flash di Akropolis, Origin Protocol e Cheese Bank, con una perdita di $ 2 milioni, $ 7 milioni e 3,3 milioni di dollari, rispettivamente.

ValueDeFi ha subito un exploit di prestito flash da 6 milioni di dollari il 14 novembre. Secondo Emiliano Bonassi, un hacker dal cappello bianco autodefinito, l’exploit di prestito flash sul protocollo ValueDeFi è stato più complesso rispetto agli attacchi precedenti, poiché sono stati utilizzati due prestiti flash. Gli hacker hanno eliminato un file prestito flash di 80.000 ETH – per un valore di oltre $ 36 milioni – e un prestito flash di $ 116 milioni in DAI da Uniswap per sfruttare il protocollo ValueDeFi, con una perdita netta di $ 6 milioni. 

I passaggi dettagliati per l’attacco sono stati illustrati sull’account Twitter di Bonassi:

Gli hacker hanno utilizzato due prestiti flash su Aave e Uniswap per sfruttare il protocollo ValueDeFi. Fonte: Twitter / @emilianobonassi

Secondo un analisi condotto dalla società di audit PeckShield, la causa principale dell’exploit del protocollo ValueDeFi era un bug nel suo file "MultiStablesVaults," che utilizza Curve per misurare il prezzo dell’asset. A causa del bug, gli hacker sono stati in grado di utilizzare prestiti flash per manipolare il prezzo dei token 3crv. Dopodiché, potrebbero bruciare i gettoni coniati dal pool per riscattare una quota sproporzionata di 33,08 milioni di gettoni 3crv, invece dei normali 24,95 milioni. Gli hacker hanno quindi riscattato i token 3crv per DAI, il che ha portato a una perdita di $ 7,4 milioni in DAI. (Gli hacker, tuttavia, hanno restituito $ 2 milioni agli sviluppatori principali di ValueDeFi.)

Azioni correttive di ValueDeFi

Il team di ValueDeFi ha pubblicato un file analisi post mortem che delinea rimedi immediati e piani a medio termine per prevenire tali attacchi di prestito flash.

Come primo passo, i depositi nel caveau MultiStables sono stati interrotti. Per calcolare l’importo esatto del risarcimento, il team ha scattato istantanee del saldo di ogni utente prima dell’attacco. Il team prevede inoltre di rilasciare una seconda versione del vault MultiStables. Prima del rilascio, il secondo vault sarà verificato da auditor pubblici e sviluppatori pubblici di Solidity.

Rispetto alla prima versione del caveau, la seconda versione utilizza i feed dei prezzi di Chainlink per migliorare la qualità dei dati, fornire sicurezza Oracle e fornire prezzi delle risorse accurati. L’uso di oracoli di prezzo riduce l’esposizione a distorsioni di prezzo temporanee indotte da prestiti flash quando il protocollo ValueDeFi estrae i dati dai pool di liquidità on-chain di Curve o altri feed di prezzo generati on-chain. Inoltre, poiché i feed dei prezzi di Chainlink non vengono aggiornati simultaneamente su più transazioni, i prestiti flash non hanno la capacità di manipolare il prezzo, poiché esistono solo all’interno di una singola transazione.

Il team creerà un fondo di compensazione basato sui fondi degli sviluppatori, un fondo assicurativo e una parte delle commissioni raccolte dal protocollo. Per compensare gli utenti per la mancanza di accesso al loro capitale, il team ha creato token IOU per rappresentare i fondi che non sono stati restituiti agli utenti. I token IOU hanno un’inflazione incorporata che accumulerà automaticamente il 10% di rendimento percentuale annuo ogni settimana.

Il team ha anche continuato a cercare una soluzione con gli hacker. Ad esempio, esso proposto una distribuzione di 1 milione di DAI come ricompensa e ha chiesto agli hacker di restituire i fondi rimanenti agli utenti interessati. Gli hacker non hanno ancora risposto a questa richiesta.

Lezioni dolorose

I recenti exploit di prestito flash sui protocolli DeFi hanno evidenziato ancora una volta una mancanza di comprensione nella meccanica DeFi da parte di alcuni partecipanti al mercato. Nell’exploit del protocollo ValueDeFi, un file infermiera e un diciannovenne autodescritto alunno ha perso rispettivamente $ 100.000 e $ 200.000. Sebbene gli hacker restituissero rispettivamente 50.000 DAI e 45.000 DAI all’infermiere e allo studente, avvertivano gli utenti dei rischi associati alla loro mancanza di conoscenza e cautela.

Gli hacker nell’exploit del protocollo ValueDeFi hanno avvertito gli utenti sui rischi di investire in protocolli di agricoltura di rendimento. Fonte: Etherscan

Gli esempi di cui sopra illustrano come alcuni partecipanti alla DeFi considerino solo gli attuali ritorni dai protocolli di agricoltura produttiva senza riconoscere i rischi inerenti ai contratti intelligenti. Anche il team di ValueDeFi ha ribadito che c’è sempre un elemento di rischio coinvolto quando si investe nei protocolli DeFi.

Con l’implementazione di nuovi protocolli DeFi che diventa sempre più complessa, è probabile che i rischi di investire in questi protocolli aumentino solo.

OKEx Insights presenta analisi di mercato, funzionalità approfondite, ricerche originali & notizie curate da professionisti delle criptovalute.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me