Serangan pinjaman flash ValueDeFi menunjukkan kurangnya uji tuntas di DeFi

DeFi Digest dari OKEx Insights adalah pemeriksaan mingguan industri keuangan terdesentralisasi.

Cuplikan pasar DeFi

Pasar keuangan terdesentralisasi mempertahankan momentum bullishnya minggu ini karena total nilai yang terkunci dalam produk DeFi naik sedikit dari $ 13,65 miliar menjadi $ 13,80 miliar. 

Pasar pinjaman terdesentralisasi tumbuh 8% minggu ini karena total volume pinjaman mencapai $ 3,09 miliar. Memanfaatkan pertumbuhan, Maker menggantikan Uniswap sebagai pemimpin DeFi secara keseluruhan, dengan tingkat dominasi pasar 17%. Sementara itu, Compound mempertahankan dominasi pasarnya di bidang pinjaman, dengan pangsa 55%.

Volume perdagangan rata-rata mingguan dari pertukaran terdesentralisasi naik 20% dan mencapai $ 0,53 miliar minggu ini. Sementara Uniswap mempertahankan dominasi volume perdagangannya sebesar 37%, posisinya sebagai kolam likuiditas terbesar digantikan oleh pesaing utamanya, SushiSwap..

Volume perdagangan mingguan DEX tumbuh sebesar 20%. Sumber: DeFi Pulse dan DeBank

Serangan pinjaman kilat terbukti bermasalah untuk DeFi

Serangan pinjaman kilat telah memusingkan komunitas DeFi karena pengumpul hasil ValueDeFi menjadi korban kelima hanya dalam tiga minggu. Menyusul kerugian $ 34 juta dari Harvest Finance, telah terjadi eksploitasi pinjaman kilat dari Akropolis, Origin Protocol, dan Cheese Bank, dengan kerugian $ 2 juta, $ 7 juta dan $ 3,3 juta, masing-masing.

ValueDeFi menderita eksploitasi pinjaman flash $ 6 juta pada 14 November. Menurut Emiliano Bonassi, seorang peretas topi putih, eksploitasi pinjaman flash pada protokol ValueDeFi adalah Lebih kompleks dari serangan sebelumnya, karena dua pinjaman kilat digunakan. Peretas mengambil file pinjaman kilat sebesar 80.000 ETH – bernilai lebih dari $ 36 juta – dan pinjaman kilat $ 116 juta di DAI dari Uniswap untuk mengeksploitasi protokol ValueDeFi, mengakibatkan kerugian bersih sebesar $ 6 juta. 

Langkah-langkah rinci serangan itu diilustrasikan di akun Twitter Bonassi:

Peretas menggunakan dua pinjaman flash di Aave dan Uniswap untuk mengeksploitasi protokol ValueDeFi. Sumber: Twitter / @emilianobonassi

Menurut seorang analisis dilakukan oleh firma audit PeckShield, akar penyebab eksploitasi protokol ValueDeFi adalah bug di dalamnya "MultiStablesVaults," yang menggunakan Kurva untuk mengukur harga aset. Karena bug tersebut, peretas dapat menggunakan pinjaman flash untuk memanipulasi harga token 3crv. Setelah itu, mereka dapat membakar token yang dicetak dari kumpulan untuk menebus bagian yang tidak proporsional dari 33,08 juta token 3crv, bukan 24,95 juta yang normal. Peretas kemudian menebus token 3crv untuk DAI, yang menyebabkan kerugian $ 7,4 juta di DAI. (Namun, para peretas mengembalikan $ 2 juta kepada pengembang inti ValueDeFi.)

Tindakan perbaikan oleh ValueDeFi

Tim ValueDeFi menerbitkan analisis post-mortem yang menguraikan upaya hukum segera dan rencana jangka menengah untuk mencegah serangan pinjaman kilat semacam itu.


Sebagai langkah pertama, penyetoran di lemari besi MultiStables telah dihentikan. Untuk menghitung jumlah kompensasi yang tepat, tim telah mengambil snapshot dari saldo setiap pengguna sebelum melakukan serangan. Tim juga berencana untuk merilis versi kedua dari lemari besi MultiStables. Sebelum rilis, lemari besi kedua akan diaudit oleh auditor publik dan pengembang Soliditas publik.

Dibandingkan dengan vault versi pertama, versi kedua menggunakan feed harga Chainlink untuk meningkatkan kualitas data, memberikan keamanan oracle dan menyediakan harga aset yang akurat. Penggunaan price oracle mengurangi eksposur terhadap distorsi harga flash-loan-induced sementara ketika protokol ValueDeFi mengekstrak data dari pool likuiditas on-chain Curve atau feed harga yang dihasilkan on-chain lainnya. Selain itu, karena feed harga Chainlink tidak diperbarui secara bersamaan dalam beberapa transaksi, pinjaman flash tidak memiliki kemampuan untuk memanipulasi harga – karena mereka hanya ada dalam satu transaksi..

Tim akan membuat dana kompensasi berdasarkan dana pengembang, dana asuransi, dan sebagian dari biaya yang dikumpulkan oleh protokol. Untuk mengkompensasi pengguna atas kurangnya akses ke modal mereka, tim telah membuat token IOU untuk mewakili dana yang belum dikembalikan ke pengguna. Token IOU memiliki inflasi bawaan yang secara otomatis akan memperoleh hasil persentase tahunan 10% setiap minggu.

Tim juga terus mencari penyelesaian dengan para peretas. Misalnya, itu diusulkan distribusi 1 juta DAI sebagai hadiah dan meminta peretas mengembalikan sisa dana kepada pengguna yang terpengaruh. Peretas belum menanggapi permintaan ini.

Pelajaran yang menyakitkan

Eksploitasi pinjaman flash baru-baru ini pada protokol DeFi sekali lagi mengungkap kurangnya pemahaman dalam mekanisme DeFi di antara beberapa pelaku pasar. Dalam eksploitasi protokol ValueDeFi, yang dijelaskan sendiri perawat dan seorang anak berusia 19 tahun yang menggambarkan dirinya sendiri siswa kehilangan $ 100.000 dan $ 200.000, masing-masing. Sementara peretas mengembalikan masing-masing 50.000 DAI dan 45.000 DAI kepada perawat dan siswa, mereka memperingatkan pengguna tentang risiko yang terkait dengan kurangnya pengetahuan dan kehati-hatian mereka..

Peretas dalam eksploitasi protokol ValueDeFi memperingatkan pengguna tentang risiko berinvestasi dalam protokol pertanian hasil. Sumber: Etherscan

Contoh yang disebutkan di atas menggambarkan bagaimana beberapa peserta DeFi hanya mempertimbangkan keuntungan saat ini dari protokol pertanian hasil tanpa mengakui risiko yang melekat pada kontrak pintar. Bahkan tim ValueDeFi menegaskan kembali bahwa selalu ada elemen risiko yang terlibat saat berinvestasi dalam protokol DeFi.

Dengan penerapan protokol DeFi yang baru menjadi semakin kompleks, risiko berinvestasi ke dalam protokol ini kemungkinan besar hanya akan meningkat.

OKEx Insights menyajikan analisis pasar, fitur mendalam, penelitian asli & berita yang dikurasi dari profesional crypto.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map