การโจมตีด้วยเงินกู้แฟลช เมื่อราชาแห่ง DeFi YFI ไม่รอด

NEST爱好者

特邀专栏作者

2021-02-07 04:45

บทความนี้มีประมาณ 1975 คำ การอ่านทั้งหมดใช้เวลาประมาณ 3 นาที

การยึดมั่นในสาระสำคัญของบล็อกเชนและการเสริมสร้างจิตวิญญาณของการกระจายอำนาจเป็นเกณฑ์แ

สรุปโดย AI

ขยาย

ผลิต | แฟน ๆ NEST (nestfans.com)

บทนำ: เกี่ยวกับปัญหาด้านความปลอดภัยของ DeFi ตั้งแต่เดือนกุมภาพันธ์ 2020 ถึงปัจจุบัน สูญเสียเงินไปหลายร้อยล้านดอลลาร์ ผู้เชี่ยวชาญต่าง ๆ ได้เขียนบทความนับไม่ถ้วนเพื่อวิเคราะห์ความเสี่ยงของ DeFi Lego จนถึงขณะนี้ ประเด็นดังกล่าวยังไม่ได้รับความสนใจจาก นักพัฒนา ในสภาพแวดล้อมที่ตลาดยังคงปั่นป่วนและขนาดของการล็อคเพิ่มขึ้นเรื่อย ๆ ดูเหมือนว่าผู้คนจะลืมไปว่าอันตรายที่ซ่อนเร้นฝังลึกอยู่ในดินแดนแห่งเทศกาลคาร์นิวัลยังไม่หายไป...

ครั้งหนึ่งเคยเป็นราชาแห่ง DeFi หรือโปรโตคอล YFI ก็ไม่รอด

การโจมตีเงินกู้แบบสายฟ้าแลบครั้งแรกในปี 2021 เกิดขึ้นกับราชาแห่ง DeFi ในปี 2020——Yearn Finance protocol ไม่มีข้อมูลเชิงลึกเกี่ยวกับสภาพจิตใจของ "ผู้โจมตี" มาดูกันว่าเกิดอะไรขึ้น

ตามข่าวกรองของ SlowMist Technology กลุ่มนโยบาย DAI ของโปรโตคอล Yearn Finance ถูกโจมตี และมีรายละเอียดดังต่อไปนี้:

1. ผู้โจมตีจะยืม ETH จำนวนมากจาก dYdX และ AAVE ก่อนโดยใช้เงินกู้แบบแฟลช

2. ผู้โจมตีใช้ ETH ที่ยืมมาจากขั้นตอนที่ 1 เพื่อให้ยืม DAI และ USDC ใน Compound

3. ผู้โจมตีฝาก USDC ทั้งหมดและ DAI ส่วนใหญ่ในขั้นตอนที่สองไปยังกลุ่ม Curve DAI/USDC/USDT ในขณะนี้ เนื่องจากเงินฝากมีสภาพคล่องสูง ผู้โจมตีจึงได้ควบคุม Curve DAI/USDC พูล /USDT สภาพคล่องสูงสุด

4. ผู้โจมตีถอน USDT จำนวนหนึ่งออกจาก Curve Pool ซึ่งทำให้อัตราส่วนของ DAI/USDT/USDC ไม่สมดุล และ DAI/ (USDT&USDC) อ่อนค่าลง

5. ในขั้นตอนที่ 3 ผู้โจมตีเติม DAI ที่เหลือลงในกลุ่มกลยุทธ์ DAI ปี จากนั้นเรียกฟังก์ชันรับของกลุ่มกลยุทธ์ DAI ปีเพื่อโอน DAI ที่ชาร์จใหม่ไปยังกลุ่ม Curve DAI/USDT/USDC ในอัตราส่วนที่ไม่สมดุล กลุ่มกลยุทธ์ DAI จะได้รับโทเค็น 3CRV จำนวนหนึ่ง

6. ผู้โจมตีฝาก USDT ในขั้นตอนที่ 4 ซ้ำเข้าไปในกลุ่ม Curve DAI/USDT/USDC เพื่อกู้คืนอัตราส่วนของ DAI/USDT/USDC

7. ผู้โจมตีเรียกใช้ฟังก์ชันการถอนของกลุ่มกลยุทธ์ DAI รายปี เนื่องจากกลุ่มกลยุทธ์ DAI รายปีถูกฝากด้วยอัตราส่วนที่ไม่สมดุล อัตราส่วนปกติจึงถูกนำมาใช้สำหรับการถอน และสัดส่วนของ DAI ในกลุ่มเพิ่มขึ้น ส่งผลให้ จำนวนการสร้าง 3CRV เท่าเดิม จำนวน DAI ที่สามารถเรียกคืนได้จะลดลง โทเค็นที่ถูกถอนออกน้อยลงเหล่านี้ยังคงอยู่ในกลุ่ม Curve DAI/USDC/USDT

8. เนื่องจากผู้โจมตีถือครองสภาพคล่องส่วนใหญ่ในกลุ่ม DAI/USDC/USDT ของ Curve ในขั้นตอนที่ 3 แล้ว DAI ส่วนใหญ่ที่กลุ่มนโยบาย DAI ปีล้มเหลวในการเรียกคืนจึงถูกแจกจ่ายให้กับผู้โจมตี

9. ทำซ้ำขั้นตอนที่ 3-8 ด้านบน 5 ครั้งและคืนเงินกู้แฟลชเพื่อทำกำไรให้เสร็จสมบูรณ์

ผู้โจมตีใช้สินเชื่อแฟลชเพื่อดำเนินการเก็งกำไรแบบวงกลม ทำให้ Yearn Finance สูญเสียเงินหลายสิบล้านดอลลาร์!

ต้นตอไม่ใช่สินเชื่อแฟลช แต่เป็นกลไกราคาที่เปราะบาง

การรวมกันระหว่าง YFI และ Curve ใช้มูลค่าสุทธิที่แตกต่างกันของ LP เพื่อคำนวณหุ้นและกำหนดราคาผ่านหุ้นใน Pool นี่คือการจัดการราคาโดยทั่วไป!

เราถือว่าข้อตกลง DeFi ในปัจจุบันเป็นประเทศต่างๆ แต่ละประเทศกำหนดกฎนโยบายที่แตกต่างกัน ผู้ค้าใช้กฎนโยบายร่วมกันเพื่อค้นหาความก้าวหน้าเพื่อให้ได้ส่วนต่างของอัตราดอกเบี้ย นี่คือการได้รับผลกำไรที่สมเหตุสมผลเหนือกระดาน และไม่สามารถตำหนิผู้โจมตีได้ เนื่องจากกลไกของคุณบอกคนอื่นถึงวิธีจัดการกับราคาของฉันสำหรับการเก็งกำไร

เกี่ยวกับปัญหาของการโจมตีเงินกู้แฟลช เราได้อธิบายอย่างละเอียดหลายครั้ง"การตีความ | สารประกอบได้รับผลกระทบจากการโจมตีการจัดการราคาของออราเคิล"อธิบายในรายละเอียดในบทความนี้

ปัญหาเบื้องหลังการปั่นราคาคือแนวทางที่เราควรจะคิดและศึกษาเพิ่มเติม

นักพัฒนาโปรโตคอล DeFi ในปัจจุบันมักจะให้ความสำคัญกับความเร็วและประสิทธิภาพเป็นอันดับแรกและเปลี่ยนหูที่หนวกเป็นแก่นแท้ของ blockchain ทุกคนแสวงหาความเร็วและไม่เต็มใจที่จะแก้ปัญหาต้นตอของปัญหาที่สำคัญ เพราะทำเมินแทบทุกคน

การออกแบบของ Bitcoin คือการอนุญาตให้โหนดทั้งหมดตรวจสอบธุรกรรมที่กำลังออกอากาศร่วมกัน และจะนับเฉพาะการออกอากาศที่ทุกคนเห็นด้วยเท่านั้น ตัวมันเองเป็นระบบที่ซับซ้อนซ้ำซ้อน Bitcoin ไม่ได้มีไว้เพื่อสร้างนวัตกรรมในแง่ของ "การใช้งาน" แต่เพื่อให้โซลูชั่นที่สมบูรณ์แบบในแง่ของ "ความน่าเชื่อถือ" ซึ่งช่วยแก้ปัญหาในกระบวนการกระจายอำนาจ คำถามเพื่อความปลอดภัย ยิ่งสเกลพลังการประมวลผลของเครือข่าย Bitcoin มีขนาดใหญ่เท่าใด เครือข่ายก็จะปลอดภัยมากขึ้นเท่านั้น แต่ประสิทธิภาพของการประมวลผลธุรกรรมกลับไม่ดีขึ้น

หากสามารถกำหนดกลไกราคาได้ง่ายๆ โดยการอัปโหลดโหนดที่เรียกว่า "เชื่อถือได้" ไปยังเชนหรือผ่านการแชร์ LP และโปรโตคอล DeFi หรือผู้ใช้ที่ใช้ราคานี้ไม่สามารถตรวจสอบราคาของคุณได้อย่างมีประสิทธิภาพโดยไม่ได้รับอนุญาต ดังนั้นราคาที่คุณให้คือสิ่งที่ คุณบอกว่าไม่ใช่ราคาที่ตกลงกันและไม่ใช่สิ่งที่ทุกคนตกลงร่วมกัน นอกจากนี้ ปัจจัยด้านความปลอดภัยของเศรษฐกิจแบบ on-chain ตามระบบราคานี้ย่อมไม่เปลี่ยนแปลงตามขนาดที่เพิ่มขึ้นจากการขยายตัว พูดง่ายๆ ก็คือสิ่งนี้สวนทางกับแก่นแท้ของบล็อกเชน ไล่ไปจนสุดทาง

เส้นทางที่มั่นคงสู่การกระจายอำนาจ

โปรโตคอล NEST ยืนยันในการสร้างราคาพร้อมกันบนเครือข่ายโดยไม่ได้รับอนุญาตและตรวจสอบได้โดยใครก็ตามที่ไม่มีพื้นที่การเก็งกำไรซึ่งสามารถเรียกโดยโปรโตคอล DeFi คุณภาพจะได้รับการปรับปรุงพร้อมๆ กัน นี่คือคุณสมบัติพื้นฐานที่ระบบเกมที่ไม่ร่วมมือควรแสดง และสามารถสะสมในเกมได้

การยึดมั่นในสาระสำคัญของบล็อกเชนและการเสริมสร้างจิตวิญญาณของการกระจายอำนาจเป็นเกณฑ์แรกสำหรับการพัฒนาอุตสาหกรรมบล็อกเชน

DeFi

Nest

YFI

ความปลอดภัย

ยินดีต้อนรับเข้าร่วมชุมชนทางการของ Odaily