banner
banner

Pasar DeFi melampaui $ 40 miliar karena Alpha Finance mengalami serangan pinjaman kilat terburuk dalam sejarah

DeFi Digest dari OKEx Insights adalah pemeriksaan mingguan industri keuangan terdesentralisasi.

Gambar DeFi Digest

Pasar keuangan terdesentralisasi kembali mencapai level tertinggi baru setelah BTC mencapai tonggak $ 50.000 di seluruh bursa global. Nilai total yang terkunci dalam produk DeFi pertama kali melampaui $ 40 miliar pada 12 Februari dan telah membukukan keuntungan mingguan 8%.

Kenaikan yang berkelanjutan di pasar DeFi terbukti dalam bidang pinjaman, di mana total volume pinjaman naik 13% menjadi $ 7,23 miliar. Compound mendominasi pasar pinjaman dengan pangsa 55%.

Volume perdagangan rata-rata mingguan dari pertukaran terdesentralisasi turun sedikit menjadi $ 2,28 miliar, pada saat penulisan ini. Uniswap – yang baru-baru ini diproses volume kumulatif lebih dari $ 100 miliar – terus memimpin DEX dengan pangsa pasar 38%. Aave menggantikan SushiSwap sebagai kumpulan likuiditas terbesar minggu ini, dengan total nilai terkunci sebesar $ 1,52 miliar.

Kategori Statistik kunci Jumlah % Perubahan mingguan
Secara keseluruhan Nilai total terkunci (USD) $ 39,94 miliar 8%
Dominasi pasar (%) Pembuat (16%)
Pinjaman Total pinjaman vol. $ 7,23 miliar 13%
Dominasi pasar (%) Senyawa (55%)
DEX Rata-rata mingguan perdagangan vol. $ 2.28 miliar -6%
Dominasi pasar (%) Uniswap (38%)
Pertanian hasil Kolam likuiditas terbesar Aave ($ 1,52 miliar)

Minggu ini, baik total nilai terkunci dan volume pinjaman naik, sementara volume perdagangan DEX mingguan turun 6%. Sumber: DeFi Pulse dan DeBank

Serangan pinjaman kilat terbesar DeFi

Sementara pelaku pasar DeFi sangat antusias dengan pencapaian $ 40 miliar TVL minggu ini, Alpha Finance mengalami serangan pinjaman kilat yang menyebabkan perkiraan kerugian sebesar $ 38 juta. Ini melampaui peretasan Harvest Finance sebesar $ 34 juta dan menjadi serangan pinjaman kilat terbesar dalam sejarah DeFi yang relatif singkat.

Tim Alpha Finance dulu dideklarasikan serangan pinjaman kilat pada 13 Februari. Tim merilis a bedah mayat keesokan harinya untuk membagikan detail exploit Alpha Homora V2.

Post-mortem menyatakan bahwa penyerang meluncurkan eksploitasi kompleks yang melibatkan lebih dari sembilan transaksi, yang dirangkum dalam 13 langkah. Tim juga membuat daftar celah berikut dalam kontrak pintar Alpha Homora V2 yang memungkinkan eksploitasi:

  1. HomoraBankv2 memiliki kumpulan sUSD yang sedang disiapkan dan tidak dirilis untuk umum. Kelompok sUSD tidak memiliki likuiditas dan penyerang dapat meningkatkan jumlah hutang dan total bagian hutang.
  2. Fungsi ResolReserve dapat meningkatkan total hutang tanpa meningkatkan total bagian hutang. Fungsi ini dapat dijalankan oleh semua pengguna.
  3. Terjadi kesalahan perhitungan pembulatan dalam perhitungan fungsi pinjaman. Ini hanya berlaku jika penyerang adalah satu-satunya peminjam.
  4. HomoraBankv2 menerima mantra yang disesuaikan dari pengguna, mengingat jumlah agunan lebih besar dari jumlah pinjaman. (Mantra di Alpha Finance mirip dengan strategi di Yearn Finance.)

Untuk meluncurkan serangan pinjaman flash kompleks, penyerang terlebih dahulu menciptakan mantra di Alpha Homora V2. Penyerang kemudian menukar ETH ke sUSD di Uniswap dan menyetorkan sUSD ke Iron Bank of Cream Finance. Untuk memanipulasi kumpulan sUSD, penyerang meminjam 1.000e18 sUSD dan melewati pemeriksaan keamanan penyetoran token kumpulan likuiditas UNI-WETH sebagai jaminan. Penyerang memperoleh saham utang 1.000e18 sUSD sebagai imbalan. Penyerang memanfaatkan celah pertama dan keempat yang disebutkan sebelumnya untuk melakukan langkah-langkah ini.

Meskipun penyerang adalah satu-satunya peminjam dalam eksploitasi Alpha Finance ini, mereka memanfaatkan pembulatan kesalahan perhitungan dalam fungsi pinjaman dengan membayar kembali bagian sUSD kurang dari satu jumlah pinjaman. Penyerang itu dieksekusi fungsi resolver Reserve pada bank sUSD, yang menyebabkan hutang sebesar 19.709 miliar sUSD karena total bagian hutang tetap satu.

Penyerang mengulangi prosedur di atas 26 kali dan menggandakan jumlah pinjaman setiap kali. Karena setiap pinjaman kurang dari satu nilai total hutang, hal ini menyebabkan bagian pinjaman yang sesuai menjadi nol, dan protokol tidak dapat mengenali pinjaman tersebut. Penyerang kemudian memperoleh pinjaman flash dari Aave dan mencuci dana di Curve.

Reaksi Alpha Finance

Pada saat penulisan, penyerang diadakan 10.925 ETH di alamat dompet mereka. Sedangkan penyerang memiliki disimpan Stablecoin senilai lebih dari $ 10 juta di bawah ukuran Curve, mereka mengembalikan 1.000 ETH masing-masing ke pengembang Alpha Homora V2 dan Cream V2. Sebagian kecil dari ETH yang dicuri dikirim ke Tornado dan Gitcoin Grant. Tim Alpha memperkirakan total kerugian dana $ 38 juta.

Tim Alpha menekankan bahwa pinjaman dari penyerang adalah hutang antara platform Alpha Homora V2 dan Cream V2, yang berarti dana pengguna tidak terlibat dalam insiden ini. Tim Alpha Finance mengambil tindakan segera berikut untuk menghentikan eksploitasi:

  • Ini menghapus fungsionalitas peminjaman dan pembayaran kembali sUSD, mencegah pengguna membuka posisi leverage baru.
  • Itu memastikan bahwa hanya mantra yang terdaftar putih yang bisa dieksekusi.
  • Itu memastikan bahwa hanya gubernur yang dapat mengeksekusi "resolusikan" fungsi.
  • Itu menghubungi berbagai pihak untuk memasukkan alamat penyerang ke daftar hitam.

Meskipun penyedia likuiditas tidak dapat meminjam di Alpha, mereka masih dapat menambahkan agunan, membayar hutang, menutup posisi, dan memanen token yang mereka tanam. Pemberi pinjaman di Alpha Finance, di sisi lain, dapat meminjamkan dan menarik aset, seperti biasa.

Untuk mengurangi dampak negatif yang ditimbulkan kepada pengguna Alpha Finance, tim bermitra dengan pendiri Yearn Finance Andre Cronje dan tim Cream Finance untuk menyelesaikan hutang tersebut..

Sebagai solusi jangka menengah hingga jangka panjang, tim Alpha Finance terus mencari auditor eksternal dan pengembang tepercaya untuk meninjau kontrak pintar mereka. Tim juga sedang mempertimbangkan untuk meluncurkan program bug bounty baru dan kreatif untuk diikuti oleh protokol DeFi lainnya.

OKEx Insights menyajikan analisis pasar, fitur mendalam, dan berita hasil kurasi dari profesional kripto.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me