ValueDeFi Flash贷款攻击暴露了DeFi严重缺乏尽职调查的情况

OKEx Insights的DeFi Digest是对去中心化金融行业的每周检查.

DeFi市场快照

去中心化的金融市场本周保持了看涨势头，DeFi产品的锁定总价值从136.5亿美元小幅增长至138亿美元。. 

去中心化的借贷市场本周增长了8％，总借贷额达到了30.9亿美元。得益于增长，Maker取代Uniswap成为DeFi的整体领导者，市场主导地位为17％。同时，复合材料在贷款领域保持着市场主导地位，占有55％的份额。.

去中心化交易所的每周平均交易量增长了20％，本周达到了5.3亿美元。尽管Uniswap保持了其交易量37％的主导地位，但其拥有最大流动资金池的地位被其主要竞争对手SushiSwap取代.

DEX的每周交易量增长了20％。来源： DeFi脉冲 和 银行

Flash贷款攻击证明对DeFi造成问题

Flash贷款攻击已成为DeFi社区的头痛问题，因为收益汇总商ValueDeFi仅在三周内成为第五位受害者。继Harvest Finance亏损3400万美元之后，出现了Akropolis，Origin Protocol和Cheese Bank的快速贷款利用， 200万美元, 700万美元 和 330万美元, 分别.

自称白帽黑客的Emiliano Bonassi表示，ValueDeFi在11月14日遭受了600万美元的闪存贷款利用。 更复杂 比以前的攻击要多，因为使用了两笔短期贷款。黑客拿出一个 80,000 ETH的快速贷款 —价值超过3600万美元—以及Uniswap向DAI提供的1.16亿美元短期贷款，以利用ValueDeFi协议，导致净亏损600万美元. 

Bonassi的Twitter帐户中说明了攻击的详细步骤：

黑客在Aave和Uniswap上使用了两次快速借贷来利用ValueDeFi协议。来源： Twitter的/ @emilianobonassi

据一个 分析 由审计公司PeckShield进行，ValueDeFi协议漏洞利用的根本原因是其漏洞 "多稳定库," 使用Curve来衡量资产价格。由于该错误，黑客能够使用快速借贷来操纵3crv代币的价格。之后，他们可以从池中烧掉铸造的代币，以赎回不合比例的3,308万个3crv代币，而不是通常的2,495万个代币。黑客随后用3crv代币赎回了DAI，这导致DAI损失了740万美元。 （但是，黑客确实向ValueDeFi的核心开发人员返还了200万美元。）

ValueDeFi的补救措施

ValueDeFi团队发布了一份 事后分析 概述了防止此类短期贷款攻击的立即补救措施和中期计划.

第一步，已停止了MultiStables保管库中的存款。为了计算确切的补偿金额，团队对攻击前每个用户的余额进行了快照。该小组还计划发布第二版的MultiStables保险库。在发布之前，第二个库将由公共审计师和公共Solidity开发人员进行审计.

与第一版金库相比，第二版 使用Chainlink价格供稿 以提高数据质量，提供Oracle安全性并提供准确的资产价格。当ValueDeFi协议从Curve的链上流动性池或其他链上产生的价格提要中提取数据时，使用价格预告片减少了因短暂贷款引起的价格扭曲的风险。此外，由于Chainlink的价格供稿不会在多个交易中同时更新，因此快速贷款无法操纵价格-因为它们仅存在于单个交易中.

该团队将根据开发商资金，保险资金和协议收取的部分费用创建补偿资金。为了补偿用户无法使用其资金的风险，该团队创建了IOU代币来表示尚未退还给用户的资金。 IOU代币具有内置的通货膨胀率，每周将自动自动产生10％的年收益率.

该小组还继续寻求与黑客的解决方案。例如，它 建议的 一百万DAI分发作为赏金，并要求黑客将剩余资金退还给受影响的用户。骇客尚未回应此要求.

痛苦的教训

最近对DeFi协议的快速贷款利用再次暴露了一些市场参与者对DeFi机制的缺乏了解。在ValueDeFi协议漏洞利用中，自我描述 护士 和一个自称19岁的年轻人 学生 分别损失了100,000美元和200,000美元。黑客分别向护士和学生退还了50,000 DAI和45,000 DAI时，他们警告用户注意缺乏知识和谨慎所带来的风险.

ValueDeFi协议中的黑客利用此警告用户，警告其投资于农作协议的风险。来源： 以太网扫描

上面的示例说明了一些DeFi参与者如何仅考虑收益农场协议的当前收益，却没有意识到智能合约固有的风险。甚至ValueDeFi团队也重申，在DeFi协议上进行投资时总是涉及风险因素.

随着新DeFi协议的部署变得越来越复杂，投资这些协议的风险可能只会增加.

OKEx Insights提供了市场分析，深入的功能，独到的研究 & 来自加密专家的精选新闻.