ValueDeFi Flash贷款攻击暴露了DeFi严重缺乏尽职调查的情况
OKEx Insights的DeFi Digest是对去中心化金融行业的每周检查.
DeFi市场快照
去中心化的金融市场本周保持了看涨势头,DeFi产品的锁定总价值从136.5亿美元小幅增长至138亿美元。.
去中心化的借贷市场本周增长了8%,总借贷额达到了30.9亿美元。得益于增长,Maker取代Uniswap成为DeFi的整体领导者,市场主导地位为17%。同时,复合材料在贷款领域保持着市场主导地位,占有55%的份额。.
去中心化交易所的每周平均交易量增长了20%,本周达到了5.3亿美元。尽管Uniswap保持了其交易量37%的主导地位,但其拥有最大流动资金池的地位被其主要竞争对手SushiSwap取代.
DEX的每周交易量增长了20%。来源: DeFi脉冲 和 银行
Flash贷款攻击证明对DeFi造成问题
Flash贷款攻击已成为DeFi社区的头痛问题,因为收益汇总商ValueDeFi仅在三周内成为第五位受害者。继Harvest Finance亏损3400万美元之后,出现了Akropolis,Origin Protocol和Cheese Bank的快速贷款利用, 200万美元, 700万美元 和 330万美元, 分别.
自称白帽黑客的Emiliano Bonassi表示,ValueDeFi在11月14日遭受了600万美元的闪存贷款利用。 更复杂 比以前的攻击要多,因为使用了两笔短期贷款。黑客拿出一个 80,000 ETH的快速贷款 —价值超过3600万美元—以及Uniswap向DAI提供的1.16亿美元短期贷款,以利用ValueDeFi协议,导致净亏损600万美元.
Bonassi的Twitter帐户中说明了攻击的详细步骤:
黑客在Aave和Uniswap上使用了两次快速借贷来利用ValueDeFi协议。来源: Twitter的/ @emilianobonassi
据一个 分析 由审计公司PeckShield进行,ValueDeFi协议漏洞利用的根本原因是其漏洞 "多稳定库," 使用Curve来衡量资产价格。由于该错误,黑客能够使用快速借贷来操纵3crv代币的价格。之后,他们可以从池中烧掉铸造的代币,以赎回不合比例的3,308万个3crv代币,而不是通常的2,495万个代币。黑客随后用3crv代币赎回了DAI,这导致DAI损失了740万美元。 (但是,黑客确实向ValueDeFi的核心开发人员返还了200万美元。)
ValueDeFi的补救措施
ValueDeFi团队发布了一份 事后分析 概述了防止此类短期贷款攻击的立即补救措施和中期计划.
第一步,已停止了MultiStables保管库中的存款。为了计算确切的补偿金额,团队对攻击前每个用户的余额进行了快照。该小组还计划发布第二版的MultiStables保险库。在发布之前,第二个库将由公共审计师和公共Solidity开发人员进行审计.
与第一版金库相比,第二版 使用Chainlink价格供稿 以提高数据质量,提供Oracle安全性并提供准确的资产价格。当ValueDeFi协议从Curve的链上流动性池或其他链上产生的价格提要中提取数据时,使用价格预告片减少了因短暂贷款引起的价格扭曲的风险。此外,由于Chainlink的价格供稿不会在多个交易中同时更新,因此快速贷款无法操纵价格-因为它们仅存在于单个交易中.
该团队将根据开发商资金,保险资金和协议收取的部分费用创建补偿资金。为了补偿用户无法使用其资金的风险,该团队创建了IOU代币来表示尚未退还给用户的资金。 IOU代币具有内置的通货膨胀率,每周将自动自动产生10%的年收益率.
该小组还继续寻求与黑客的解决方案。例如,它 建议的 一百万DAI分发作为赏金,并要求黑客将剩余资金退还给受影响的用户。骇客尚未回应此要求.
痛苦的教训
最近对DeFi协议的快速贷款利用再次暴露了一些市场参与者对DeFi机制的缺乏了解。在ValueDeFi协议漏洞利用中,自我描述 护士 和一个自称19岁的年轻人 学生 分别损失了100,000美元和200,000美元。黑客分别向护士和学生退还了50,000 DAI和45,000 DAI时,他们警告用户注意缺乏知识和谨慎所带来的风险.
ValueDeFi协议中的黑客利用此警告用户,警告其投资于农作协议的风险。来源: 以太网扫描
上面的示例说明了一些DeFi参与者如何仅考虑收益农场协议的当前收益,却没有意识到智能合约固有的风险。甚至ValueDeFi团队也重申,在DeFi协议上进行投资时总是涉及风险因素.
随着新DeFi协议的部署变得越来越复杂,投资这些协议的风险可能只会增加.
OKEx Insights提供了市场分析,深入的功能,独到的研究 & 来自加密专家的精选新闻.