در حالی که آلفا فایننس دچار بدترین حمله وام فلاش در تاریخ شد ، بازار DeFi از 40 میلیارد دلار فراتر رفت
OKEx Insights ‘DeFi Digest یک بررسی هفتگی از صنعت مالی غیرمتمرکز است.
بازار مالی غیرمتمرکز مجدداً در پشت سر BTC با رسیدن به نقطه عطف 50،000 دلاری در مبادلات جهانی به اوج های جدید رسید. ارزش کل قفل شده در محصولات DeFi برای اولین بار در 12 فوریه از 40 میلیارد دلار فراتر رفت و 8٪ سود هفتگی به دست آورد.
افزایش مداوم بازار DeFi در حوزه وام مشهود است ، جایی که کل حجم وام با 13٪ افزایش به 7.23 میلیارد دلار رسیده است. کامپاند با 55 درصد سهم بازار وام را در اختیار داشت.
میانگین حجم معاملات هفتگی مبادلات غیرمتمرکز ، تا زمان نگارش این مقاله اندکی کاهش یافته و به 2.28 میلیارد دلار رسیده است. لغو کنش – که اخیراً فرآوری شده حجم تجمعی بیش از 100 میلیارد دلار – همچنان به عنوان رهبر DEX ها با 38 درصد سهم بازار ادامه دارد. Aave جایگزین SushiSwap به عنوان بزرگترین استخر نقدینگی این هفته شد ، ارزش کل آن قفل شده است به 1.52 میلیارد دلار.
دسته بندی | آمار کلیدی | میزان | تغییر هفتگی |
به طور کلی | ارزش کل قفل شده است (USD) | 39.94 میلیارد دلار | 8٪ |
تسلط بر بازار (٪) | سازنده (16٪) | ||
امانت دادن | حجم کل وام. | 7.23 میلیارد دلار | 13٪ |
تسلط بر بازار (٪) | ترکیب (55٪) | ||
DEX ها | میانگین هفتگی جلد معاملات. | 2.28 میلیارد دلار | -6٪ |
تسلط بر بازار (٪) | لغو برداشتن (38٪) | ||
تولید محصول | بزرگترین استخر نقدینگی | صرفه جویی (1.52 میلیارد دلار) |
در این هفته ، ارزش کل قفل شده و حجم وام افزایش یافت ، در حالی که حجم معاملات هفتگی DEX 6٪ افت کرد منبع: DeFi Pulse و DeBank
بزرگترین حمله وام فلاش DeFi
در حالی که فعالان بازار DeFi در این هفته درمورد نقطه عطف 40 میلیارد دلاری TVL جنجالی داشتند ، آلفا فایننس دچار حمله وام فلاش شد که منجر به ضرر تقریبی 38 میلیون دلار شد. این از هک 34 میلیون دلار Harvest Finance پیشی گرفت و به بزرگترین حمله وام فلاش در تاریخ نسبتاً کوتاه DeFi تبدیل شد.
ابتدا تیم Alpha Finance اعلام کرد حمله سریع وام در 13 فوریه. تیم منتشر شد پس از مرگ روز بعد برای به اشتراک گذاشتن جزئیات بهره برداری Alpha Homora V2.
پس از مرگ اظهار داشت که مهاجم یک بهره برداری پیچیده را شامل بیش از 9 معامله انجام داده است که در 13 مرحله خلاصه شده است. این تیم همچنین خلا های زیر را در قرارداد هوشمند Alpha Homora V2 ذکر کرده است که بهره برداری را امکان پذیر کرده است:
- HomoraBankv2 دارای یک استخر sUSD بود که در دست تهیه بود و به صورت عمومی منتشر نشد. استخر sUSD نقدینگی نداشت و مهاجم می توانست مقدار کل بدهی و کل سهم بدهی را افزایش دهد.
- تابع zgjidReserve می تواند بدهی کل را بدون افزایش کل سهم بدهی افزایش دهد. این عملکرد توسط هر کاربری قابل اجرا است.
- در محاسبه عملکرد وام یک اشتباه محاسبه گرد وجود دارد. این تنها زمانی قابل اجرا بود که مهاجم تنها وام گیرنده باشد.
- با توجه به اینکه مقدار وثیقه از مبلغ وام بیشتر است ، HomoraBankv2 هر طلسم سفارشی را از کاربران پذیرفت. (طلسم در Alpha Finance مشابه استراتژی Yearn Finance است.)
برای شروع حمله پیچیده وام فلش ، ابتدا مهاجم یک طلسم ایجاد کرد در Alpha Homora V2. سپس مهاجم ETH را با sUSD در Uniswap عوض کرد و sUSD را به Iron Bank of Cream Finance واریز کرد. برای دستکاری استخر sUSD ، مهاجم 1000e18 sUSD وام گرفت و بررسی امنیتی را دور زد سپرده گذاری رمز نقدینگی UNI-WETH به عنوان وثیقه. مهاجم در ازای آن 1000 هزار و 18 سهم بدهی sUSD به دست آورد. مهاجم برای انجام این مراحل از حفره های اول و چهارم که قبلاً ذکر شد استفاده کرد.
در حالی که مهاجم تنها وام گیرنده در این سو Alpha استفاده از آلفا فایننس بود ، آنها از محاسبه غلط در تابع وام استفاده کردند بازپرداخت سهم sUSD یکی کمتر از کل مبلغ وام. پس از آن مهاجم اجرا شده تابع zgjidRezerve در بانک sUSD ، منجر به بدهی متعلق به 19،709 میلیارد sUSD به عنوان یک سهم کل بدهی باقی مانده است.
مهاجم رویه های فوق را 26 بار تکرار کرد و هر بار مبلغ وام گرفته شده را دو برابر کرد. از آنجا که هر وام یکی کمتر از ارزش کل بدهی بود ، این منجر به یک سهم استقراض مربوطه به صفر شد و پروتکل نمی توانست وام را تشخیص دهد. سپس مهاجم از Aave وام های سریع دریافت کرد و وجوه خود را در Curve پولشویی کرد.
واکنش آلفا فایننس
از زمان نوشتن ، مهاجم برگزار شد 10،925 ETH در آدرس کیف پول خود. در حالی که مهاجم داشته است سپرده شده با ارزش بیش از 10 میلیون دلار پایدار سکه در زیر منحنی ، آنها 1000 ETH را به ترتیب به توسعه دهندگان Alpha Homora V2 و Cream V2 بازگشتند. بخش کوچکی از ETH به سرقت رفته به Tornado و Gitcoin Grant ارسال شد. تیم آلفا خسارت کل سرمایه را 38 میلیون دلار تخمین زد.
تیم آلفا تأکید کرد که وام گرفتن از مهاجمان بدهی بین سیستم عامل Alpha Homora V2 و Cream V2 است ، به این معنی که وجوه کاربران در این حادثه دخیل نبوده است. تیم Alpha Finance اقدامات فوری زیر را برای متوقف کردن بهره برداری انجام داد:
- این عملکرد وام و بازپرداخت sUSD را از بین برد و از باز کردن موقعیت های جدید اهرمی برای کاربران جلوگیری کرد.
- این اطمینان حاصل کرد که فقط جادوهای موجود در لیست سفید قابل اجرا هستند.
- این اطمینان را می داد که فقط استاندار می تواند دادگاه را اجرا کند "حل کردن" تابع.
- با احزاب مختلف تماس گرفت تا آدرس مهاجم را در لیست سیاه قرار دهد.
در حالی که تأمین کنندگان نقدینگی نمی توانند در آلفا وام بگیرند ، آنها هنوز هم می توانند وثیقه اضافه کنند ، بدهی ها را بازپرداخت کنند ، موقعیت ها را ببندند و نشانه های کشاورزی خود را برداشت کنند. از طرف دیگر وام دهندگان در آلفا فاینانس می توانند طبق معمول دارایی را وام دهند و برداشت کنند.
برای کاهش تأثیر منفی که به کاربران آلفا فاینانس وارد شده است ، تیم با بنیانگذار Yearn Finance آندره کرونژ و تیم Cream Finance برای حل و فصل بدهی همکاری می کند..
به عنوان یک راه حل میان مدت و بلند مدت ، تیم Alpha Finance همچنان به دنبال حسابرسان خارجی و توسعه دهندگان قابل اعتماد برای بررسی قراردادهای هوشمند خود بود. این تیم همچنین در حال راه اندازی برنامه های جدید و خلاقانه رفع اشکال برای سایر پروتکل های DeFi برای دنبال کردن است.
OKEx Insights تحلیل های بازار ، ویژگی های عمیق و اخبار متشکل از متخصصان رمزنگاری را ارائه می دهد.