随着Alpha Finance遭受历史上最严重的快速贷款攻击,DeFi市场超过400亿美元
OKEx Insights的DeFi Digest是对去中心化金融行业的每周检查.
在BTC的推动下,去中心化的金融市场再次创下新高,在全球交易所中达到50,000美元的里程碑。 2月12日,锁定在DeFi产品中的总价值首次超过400亿美元,并公布了8%的每周收益.
DeFi市场的持续增长在贷款领域十分明显,该领域的总借贷额增长了13%,达到72.3亿美元。化合物以55%的份额主导了贷款市场.
截至撰写本文时,去中心化交易所的每周平均交易量小幅下降至22.8亿美元。 Uniswap-最近 处理 累计交易量超过1000亿美元,继续以38%的市场份额领先于DEX。 Aave取代SushiSwap成为本周最大的流动资金池,其总锁定价值为15.2亿美元.
类别 | 关键统计 | 数量 | 每周百分比变化 |
全面的 | 锁定总值(美元) | 399.4亿美元 | 8% |
市场支配率(%) | 创客(16%) | ||
借贷 | 借款总额. | 72.3亿美元 | 13% |
市场支配率(%) | 复合(55%) | ||
敏捷 | 每周平均交易量. | 22.8亿美元 | -6% |
市场支配率(%) | Uniswap(38%) | ||
丰产农业 | 最大的流动资金池 | Aave(15.2亿美元) |
本周,总价值锁定和借贷量均上升,而 每周DEX交易量 下降了6%。资料来源:DeFi Pulse和DeBank
DeFi最大的Flash贷款攻击
尽管DeFi市场参与者本周对400亿美元的TVL里程碑大肆宣传,但Alpha Finance遭受了一次小额贷款攻击,导致大约3800万美元的损失。这超过了Harvest Finance的3400万美元的攻击,并成为DeFi相对短暂的历史上最大的一次闪速贷款攻击.
阿尔法金融团队第一 宣告 2月13日发生的快速贷款攻击。 验尸 第二天分享Alpha Homora V2漏洞利用的详细信息.
验尸报告指出,攻击者发起了一项涉及超过9笔交易的复杂漏洞利用程序,该漏洞利用13个步骤进行了总结。该团队还列出了Alpha Homora V2智能合约中的以下漏洞,这些漏洞使得可能的利用成为可能:
- HomoraBankv2的sUSD池正在准备中,尚未公开发布。 sUSD池没有流动性,攻击者可以同时增加总债务额和总债务份额.
- resolveReserve函数可以在不增加总债务份额的情况下增加总债务。任何用户都可以执行此功能.
- 借入函数计算中存在舍入错误的计算。这仅在攻击者是唯一借款人的情况下适用.
- 鉴于抵押品的金额大于借款金额,HomoraBankv2接受了来自用户的任何自定义拼写。 (Alpha Finance中的法术类似于Yearn Finance中的策略。)
要发起复杂的Flash贷款攻击,攻击者首先 创造了一个咒语 在Alpha Homora V2中。然后,攻击者在Uniswap上将ETH交换为sUSD,并将sUSD存入Cream Finance铁银行。为了操纵sUSD池,攻击者借入了1,000e18 sUSD并绕过了安全检查 存入 UNI-WETH的流动资金池代币作为抵押。攻击者获得了1,000e18 sUSD的债务份额作为回报。攻击者利用了前面提到的第一个漏洞和第四个漏洞来执行这些步骤.
虽然攻击者是此Alpha Finance漏洞的唯一借方,但他们利用借方函数中的四舍五入四舍五入的方法是: 偿还 sUSD的份额比借款总额少一。攻击者然后 被执行 sUSD银行的resolveReserve功能,由于总债务份额仍为一,导致应计债务为197,090亿美元。.
攻击者重复了上述步骤26次,每次都将借入的金额加倍。由于每笔借款都比总债务价值少一,这导致相应的借款份额为零,并且协议无法识别该借款。然后,攻击者从Aave获得了快速贷款,并洗刷了Curve中的资金.
阿尔法金融的反应
截至撰写本文时,攻击者 握住 他们的钱包地址中有10,925 ETH。当攻击者拥有 存入 在Curve的管理下,价值超过1000万美元的稳定币,他们分别向Alpha Homora V2和Cream V2开发人员返还了1,000 ETH。一小部分被盗的ETH被发送给了Tornado和Gitcoin Grant。 Alpha团队估计总资金损失为3800万美元.
Alpha小组强调,从攻击者那里借钱是Alpha Homora V2和Cream V2平台之间的债务,这意味着用户的资金不涉及此事件。 Alpha Finance小组立即采取了以下行动来阻止该漏洞利用:
- 它删除了sUSD的借贷和还款功能,从而阻止用户开设新的杠杆头寸.
- 它确保只能执行白名单中的咒语.
- 它确保只有州长才能执行 "resolveReserve" 功能.
- 它与各方联系,将攻击者的地址列入黑名单.
尽管流动性提供者无法在Alpha中借款,但他们仍可以添加抵押品,偿还债务,平仓并收获其耕种的代币。另一方面,Alpha Finance中的贷款人可以照常借贷资产.
为了减轻对Alpha Finance用户的负面影响,该团队与Yearn Finance创始人Andre Cronje和Cream Finance团队合作解决债务问题.
作为中长期解决方案,Alpha Finance团队继续寻求外部审计师和可信赖的开发人员来审查其智能合约。该团队还正在考虑针对其他DeFi协议启动新的和有创意的Bug赏金计划。.
OKEx Insights提供了市场分析,深入的功能以及来自加密专家的精选新闻.