DeFi - "Атаки" и Безопасность

[zasad@]

В сентябре 2019 года я начал писать о DeFi - финансовой экосистеме ETH.
https://bitcointalk.org/index.php?topic=5185915

Первая статья перенесена в этот пост, не хватает места
https://bitcointalk.org/index.php?topic=5227888.msg59276780#msg59276780
___
Другие атаки на проекты DeFi
Взлом DeFi Fulcrum и попытка сокрытия. Февраль 2020г.
Взлом Dforce 25 млн $. Апрель 2020г.
Dforce возврат 25 млн $ обратно!!! . Апрель 2020г.
Взлом данных BlockFi Experiences. Май 2020г.
Bancor уязвимость. Июнь 2020г.
Balancer взлом 500 000$. Июнь 2020г.
BZRX IDO.Профит 500 000$. Июль 2020г.
Bancor предотвратили взлом на 545 000$. Июль 2020г.
Opyn взлом 370 000 USDC. Август 2020.
$250k Soft Yearn (SYFI) 7 Сентября 2020.
bZx протокол. Потери 8 000 000$. 13 сентября 2020г.
bZx протокол. Возврат 8 000 000$. 14 сентября 2020г.
проект Андре Кронье 15 000 000$. 29 сентября 2020г.
Уязвимость Ethereum стоимостью 10 миллионов долларов исправлена ​​хакером Whitehat. 29 сентября 2020г.
Токен WLEO обвалился до нуля после его эмиссии хакерами. Ущерб 42 000$. 11 Октября 2020г.
Harvest Finance- 23 миллиона долларов 26 Октября 2020г.
DeFi-протокол Akropolis- 2 миллиона долларов 12 ноября 2020г.
Value DeFi- 6 миллионов долларов 14 ноября 2020г.
Origin Defi- 7 миллионов долларов 17 ноября 2020г.
DeFi Protocol Pickle Finance- 20 миллионов долларов 22 ноября 2020г.
DeFi Insurer Nexus Mutual - 8 миллионов долларов 14 декабря 2020г.
Warp Finance- 7,7 миллионов долларов 18 декабря 2020г. 75% возвращены.
DeFi протокол Cover - 5 миллионов долларов 28 декабря 2020г.

2021
Yearn.finance - 9 миллионов долларов 4 февраля 2021г.
Cream Finance - 37,5 миллионов долларов 14 февраля 2021г.
Furucombo - 14 миллионов долларов 28 февраля 2021г.
Meerkat Finance - 32 миллиона долларов 4 марта 2021г.
PAID Network  - 3 миллиона долларов 5 марта 2021г.
DODO DEX - 2 миллиона долларов( возвращено 1,9М)  8 марта 2021г.
Roll  3000 ETH  15 марта 2021г.
Iron Finance $170,000  17 марта 2021г.
TurtleDex 9000 BNB =2.4M $  20 марта 2021г.
Force DAO-$367 000 4 апреля 2021г.
EasyFi DeFi protocol =6M $  19 апреля 2021г.
Spartan Protocol  =30M $  2 мая 2021г.
Rari Capital =10M $  9 мая 2021г.
xToken - $25,38M 12 мая 2021г.
Pancake Bunny - $200  20мая 2021г.
Venus Статья о манипуляциях  20мая 2021г.
Wild Credit взлом $637K и возврат  27мая 2021г.
BurgerSwap потерял $7,2M 28мая 2021г.
Belt Finance потерял $6,2M 30мая 2021г.
Impossible finance потерял $0,5M  21 июня 2021г.
Safe Dollar потерял $250 000  28 июня 2021г.
WhaleFarm потерял $2М   1 июля 2021г.
ChainSwap взломали $8М 11 июля 2021г.
Bondly Finance взлом 15 июля 2021г.
THORChain 2500 ETH 16 июля 2021г.
Popsicle Finance- $25M 4 августа 2021г.
Poly Netowork- $600M 10 августа 2021г.
Poly Netowork- $342M  возврат 12 августа 2021г.
DAOmaker- $7M 12 августа 2021г.
Maze Protocol - $4 М 13 августа 2021г.
SamCZSun помог платформе Sushi MISO избежать взлома на $350М 19 августа 2021г.
xToken - $4,5М 29 августа 2021г.
Cream Finance - $18 М 30 августа 2021г.
Aurory - $0,5 М 31 августа 2021г.
DAO Maker- $4 М 4 сентября 2021г.
AFK System- $12 М 10 сентября 2021г.
Zabu Finance - $3,2 М 12 сентября 2021г.
MISO IDO platform ( Хак и возврат)- $3 М 17 сентября 2021г.
pNetwork Protocol- $12 М 20 сентября 2021г.
Vee.Finance- $35 М 21 сентября 2021г.
Compound баг- $80 М 30 сентября 2021г.
Indexed Finance - $15.8М 15 октября 2021г.
PancakeHunny - $1,9М 20 октября 2021г.
Cream Finance - $130М 27 октября 2021г.
bZx  - $55М 05 ноября 2021г.
MonoXFinance  - $31М 30 ноября 2021г.
BadgerDAO  - $100М 1 декабря 2021г.
Vulcan Forged  - $140М 13 декабря 2021г.
8ight Finance  - $1.8М 13 декабря 2021г.
BNB Heroes  - $2М 13 декабря 2021г.
Grim Finance  - $30М 20 декабря 2021г.
Visor Finance - $8,8М 21 декабря 2021г.
Metaswap Gas - 1100 BNB 27 декабря 2021г.
MetaDAO - 800 ЕТН 27 декабря 2021г.

2022
Tinyman- неизвестно 1 января 2022г.
Lympo NFT - $18,7М 11 января 2022г.
Qubit Finance,X-Bridge $80M 28 января 2022г.
Wormhole $326M 2 февраля 2022г.
KLAYswap $1,83M 4 февраля 2022г.
DeFi Meter $4,3M 8 февраля 2022г.
DeFi QiDao Protocol  $13M 8 февраля 2022г.
Dego ущерб оценивается 11 февраля 2022г.
Fantasm Finance $2,6M 11 марта 2022г.
Agave и Hundred Finance $11M 16 марта 2022г.
Rare Bears $0,8M 18 марта 2022г.
Li Finance $0,6M 20 марта 2022г.
OneRing Finance $2M 21 марта 2022г.
Ronin sidechain $622M 23 марта 2022г.
Bored Ape Yacht Club $0,549M 1 апреля 2022г.
Inverse Finance $15,6M 2 апреля 2022г.
WonderHero $329 000 7 апреля 2022г.
Starstream $4M 8 апреля 2022г.
Elephant Money $11M 15 апреля 2022г.
Beanstalk $182M 18 апреля 2022г.
DeFi-протокол Zeed  неудачная попытка взлома $1M 21 апреля 2022г.
AkuDreams ошибка разработчиков  $34M 23 апреля 2022г.
Deus Finance DAO   $13M 28 апреля 2022г.
fei/Rari Capital  $80M 30 апреля 2022г.
Saddle Finance  $10M 1 мая 2022г.
Mirror Protocol  $2M 29 мая 2022г.
Osmosis DEX  $5M 8 июня 2022г.
Optmism хак и возврат  $18M 8 июня 2022г.
Inverse Finance   $1,2M 16 июня 2022г.

промежуточные отчеты за 2021 год

https://ciphertrace.com/2020-year-end-cryptocurrency-crime-and-anti-money-laundering-report/
https://ciphertrace.com/cryptocurrency-crime-and-anti-money-laundering-report-may-2021/
https://ciphertrace.com/cryptocurrency-crime-and-anti-money-laundering-report-august-2021/

[1714810894]

1714810894

[1714810894]

1714810894

[1714810894]

1714810894

[1714810894]

1714810894

[Estrange18]

Когда был ажиотаж по поводу дефи пару месяцев назада, и все начали делать видео и посты о том как это круто, была малая часть людей которые предупреждали о подобных, весьма легальных махинациях. Т.е. это посути даже нельзя назвать хаком или атакой, и с Дэфи покачто не всё так хорошо, как это казалось сразу.

[zasad@]

Когда был ажиотаж по поводу дефи пару месяцев назада, и все начали делать видео и посты о том как это круто, была малая часть людей которые предупреждали о подобных, весьма легальных махинациях. Т.е. это посути даже нельзя назвать хаком или атакой, и с Дэфи покачто не всё так хорошо, как это казалось сразу.

C DeFi все отлично, от ошибок нельзя застраховаться. Потери небольшие.
Это будущее финансового мира, и пока разработчики шишек не набьют, развития не будет.

[Estrange18]

Когда был ажиотаж по поводу дефи пару месяцев назада, и все начали делать видео и посты о том как это круто, была малая часть людей которые предупреждали о подобных, весьма легальных махинациях. Т.е. это посути даже нельзя назвать хаком или атакой, и с Дэфи покачто не всё так хорошо, как это казалось сразу.

C DeFi все отлично, от ошибок нельзя застраховаться. Потери небольшие.
Это будущее финансового мира, и пока разработчики шишек не набьют, развития не будет.

Я не сомневаюсь в огромных перспективах дэфи, просто очевидно, что у Дэфи сейчас явный перехайп, ещё вчерашние скам айсио, сегодня говорят что они будут делать дэфи и т.д. И подобные случаи показывают, что сама экоситстема ещё очень сырая.

[canovan25]

Не думаю, что это стоит серьёзно воспринимать. Банковскую систему фродят уже сотни лет, так там топовые специалисты работают, а вы над молодой отраслью потешаетесь, где всё делается на коленке

[almaz8695]

Когда был ажиотаж по поводу дефи пару месяцев назада, и все начали делать видео и посты о том как это круто, была малая часть людей которые предупреждали о подобных, весьма легальных махинациях. Т.е. это посути даже нельзя назвать хаком или атакой, и с Дэфи покачто не всё так хорошо, как это казалось сразу.

C DeFi все отлично, от ошибок нельзя застраховаться. Потери небольшие.
Это будущее финансового мира, и пока разработчики шишек не набьют, развития не будет.

Я не сомневаюсь в огромных перспективах дэфи, просто очевидно, что у Дэфи сейчас явный перехайп, ещё вчерашние скам айсио, сегодня говорят что они будут делать дэфи и т.д. И подобные случаи показывают, что сама экоситстема ещё очень сырая.

Чем больше дэфи проектов будет тем лучше, и естественно чем больше разработчиков тем лучше - развитие всей экосистемы будет идти быстрей. Так что хайп вокруг дэфи идет на пользу, а всякие скамеры были есть и будут.

[zasad@]

Когда был ажиотаж по поводу дефи пару месяцев назада, и все начали делать видео и посты о том как это круто, была малая часть людей которые предупреждали о подобных, весьма легальных махинациях. Т.е. это посути даже нельзя назвать хаком или атакой, и с Дэфи покачто не всё так хорошо, как это казалось сразу.

C DeFi все отлично, от ошибок нельзя застраховаться. Потери небольшие.
Это будущее финансового мира, и пока разработчики шишек не набьют, развития не будет.

Я не сомневаюсь в огромных перспективах дэфи, просто очевидно, что у Дэфи сейчас явный перехайп, ещё вчерашние скам айсио, сегодня говорят что они будут делать дэфи и т.д. И подобные случаи показывают, что сама экоситстема ещё очень сырая.

В DeFi топовых проектов около 10, но они не спешат добавлять поддержку чего попало.
Направление выбрано и оно будет очень быстро развиваться, даже учитывая " условную" децентрализацию.

Уверен через года 3-4 банки будут принимать вклады в криптовалюте через смарт контракты и выдавать кредиты Клиенты - весь мир и никаких регуляторов.
 

[sg1983]

Когда был ажиотаж по поводу дефи пару месяцев назада, и все начали делать видео и посты о том как это круто, была малая часть людей которые предупреждали о подобных, весьма легальных махинациях. Т.е. это посути даже нельзя назвать хаком или атакой, и с Дэфи покачто не всё так хорошо, как это казалось сразу.

C DeFi все отлично, от ошибок нельзя застраховаться. Потери небольшие.
Это будущее финансового мира, и пока разработчики шишек не набьют, развития не будет.

Я не сомневаюсь в огромных перспективах дэфи, просто очевидно, что у Дэфи сейчас явный перехайп, ещё вчерашние скам айсио, сегодня говорят что они будут делать дэфи и т.д. И подобные случаи показывают, что сама экоситстема ещё очень сырая.

Так не надо лезть во все DeFi подряд, как выше верно заметили - топовых всего штук десять и лезть во всякие Fulcrum ради чуть более высокого % когда есть тот же компаунд я бы не советовал.

[zasad@]

Мне стали интересны детали взлома, самую полнуи информацию нашел у PeckShield Inc - компания по обеспечению безопасности блокчейнов.
https://medium.com/@peckshield/bzx-hack-full-disclosure-with-detailed-profit-analysis-e6b1fa9b18fc
PeckShield Inc(С)
Смысловой перевод важных моментов.

15 февраля мы представили обзор  взлома bZx, который захватил различные заголовки тем о DeFi. Есть много недоразумений, циркулирующих вокруг природы этого конкретного взлома. Подчеркнем, что это не атака оракула. Это умный арбитраж, в котором использовалась ошибка в реализации смарт-контракта bZx.  В этой статье мы хотели бы предоставить подробное описание взлома.



Пять шагов арбитража в bZx Hack
Виновником является эта транзакция в 2020–02–15 01:38:57 + UTC на  блоке # 9484688. Как показано на рисунке, эту атаку можно разделить на пять отдельных шагов: флеш-кредит(Flashloan), накопление, маржинальный памп, дамп, погашение флеш-кредита. Далее мы рассмотрим каждый конкретный шаг.

1: Флеш-кредит(Flashloan). Этот шаг использует преимущества флеш-кредита dYdX для заимствования 10 000 ETH.

Flash loan: Обычно, чтобы занять деньги в DeFi, нужно взять CDP (обеспеченную долговую позицию), что обычно означает, что для того, чтобы занять BTC на сумму $80, нужно внести что-то вроде $100 долларов в ETH в качестве залога. Если вы не вернете $80 в BTC, которые вы взяли в долг, вы потеряете свой залог. Для сравнения, флеш-кредит относительно новый способ заимствования денег в DeFi, не требует залогов. Смарт контракт flash loan позволяет вам взять без вопросов большую сумму капитала, при условии, что вы вернете заимствованную сумму в течение той же самой сделки (отсюда и название flash loan). Если вы не вернете заимствованную сумму, транзакция просто вернется обратно. С помощью флеш-кредита Джо начал с почти 0 долларов (помимо нескольких долларов комиссии за транзакцию) и сразу же получил доступ к капиталу в 3 миллиона долларов.

После этого шага мы замечаем, что у атакующего есть следующий баланс активов. Пока нет выгоды.


2: Накопление. Получив заемный флэш-кредит, злоумышленник вносит 5500 ETH в Compound в качестве залога, чтобы занять 112 WBTC. Это нормальная операция, и этот накопленный WBTC должен быть сброшен на шаге 4.


После этого шага мы замечаем следующие изменения активов, контролируемых злоумышленником.Пока  нет выгоды.


3: Маржинальный памп. После заема 112 WBTC на этом шаге используется функция маржинальной торговли bZx для шорта  ETH в пользу WBTC (т. е. SETHwBTCx5). В частности, злоумышленник депонирует 1300 ETH и вызывает функцию  BZX margin trading, то есть mintWithEther (которая  вызывает marginTradeFromDeposit). Функция маржинальной торговли использует KyberSwap для обмена одолженных 5637.623762 ETH на 51.345576 WBTC. Обратите внимание, что это 5x заем на шорт ETH. Это повышает коэффициент конверсии 1 WBTC до 109,8 WETH, что примерно в три раза превышает нормальный коэффициент конверсии (~ 38,5 WETH / WBTC).

Чтобы завершить эту сделку, bZx направляет ордер в KyberSwap, который затем  консультируется со своими резервами и находит лучший курс.  Этот шаг существенно повышает цену WBTC в Uniswap в три раза.


Следует отметить, что этот шаг должен быть блокирован встроенной проверкой работоспособности, которая проверяет,  что  будет с операцией после обмена. Однако эта проверка не сработала, когда произошла атака, и мы рассмотрим детали ниже.
После этого шага мы замечаем следующие изменения активов, контролируемых злоумышленником. Тем не менее, после этого шага нет никакой выгоды.


4: Дамп . С завышенной ценой WBTC в Uniswap, злоумышленник продает заимствованный у Compound 112 WBTC обратно за WETH в Uniswap.


Этот шаг приводит к получению 6871.4127388702245 ETH по курсу 1WBTC = 61.4 WETH. После этого  злоумышленник наблюдает значительную прибыль с последующей разбивкой активов.


5: Погашение флеш-кредита. Получив  6871.4127388702245 ETH от проданных 112 WBTC, злоумышленник возвращает флэш-кредит 10000.000000000011ETH обратно в dYdX, завершая операцию.
Мы пересчитаем следующую разбивку активов после этого шага. Оказывается, что атакующий получает 71ETH арбитражную прибыль, плюс две позиции, одна в Compound  (+ 5500WETH / -112WBTC) и другая в bZx (-4,337WETH / + 51WBTC). Составная позиция очень прибыльна, в то время как позиция bZx находится в состоянии дефолта. По-видимому, сразу после применения эксплойта злоумышленник выплачивает  долг (112BTC), чтобы вернуть залог (5500 WETH). Для дефолтной позиции bZx, атакующий не проявляет дальнейшего интереса.

Учитывая среднюю рыночную цену 1WBTC = 38,5WETH (или 1WETH = 0,025BTC), атакующий может получить 112 WBTC с ~ 4300 ETH. В результате злоумышленник получает 71 WETH + 5500 WETH - 4300 ETH = 1 271 ETH, примерно 355 880 долларов (при условии, что цена ETH = 280 долларов).

[zasad@]

bZx Smart Contract Bug
Секрет заключается в том, как курс  Uniswap WBTC / ETH был с манипулировали до значения 1WBTC = 61.4 WETH для получения прибыли. Как упомянуто в Шаге 3, соотношение 1WBTC/ETH было "накачано" до 109,8, когда нормальное рыночное отношение цен было на уровне 38. Другими словами, цена была накачана из за применения эксплойта. Однако такое огромное снижение цены должно привести к тому, что позиция bZx не будет полностью обеспечена. Но почему недостаточно обеспеченная позиция будет возможна, что, естественно, приводит к обнаружению скрытой ошибки в реализации смарт-контракта bZx.
В частности, маржинальный памп запускается из функции marginTradeFromDeposit ().



Как показано на рисунке , marginTradeFromDeposit () вызывает _borrowTokenAndUse () с  параметром, установленным как true в строке 840.



Внутри _borrowTokenAndUse (), _getBorrowAmountAndRate () вызывается в строке 1348, когда amountIsADeposit равно true. Возвращенный loanAmount будет сохранен в sentAmounts [1].


Также в _borrowTokenAndUse (), sentAmounts [6] заполняется значением sentAmounts [1] в строке 1355 в случае amountIsADeposit == true (мы увидим это позже). Позже _borrowTokenAndUseFinal () вызывается в строке 1370.


В строке 1414 _borrowTokenAndUseFinal () вызывает takeOrderFromiToken () через интерфейс IBZx, так что транзакция поступает в bZxContract.


Здесь начинается интересная часть. В строке 145–153 выполняется вызов require () для проверки, является ли позиция "здоровой" или "нездоровой". К сожалению, в случае loadDataBytes.length == 0 && sentAmounts [6] == sentAmounts [1] проверка работоспособности bZxOracle :: shoudLiquidate () будет пропущена. Это именно то условие, что эксплойт сработал, чтобы избежать проверки работоспособности.


Если мы посмотрим на bZxOracle :: shouldLiquidate (), проверка getCurrentMarginAmount () <= loanOrder.maintenanceMarginAmount в строке 514 сделает эту работу, перехватив шаг накачки маржи и, таким образом, предотвратив эту атаку.
Здесь мы также хотели бы поблагодарить Bloxy за прекрасные инструменты, которые мы использовали для создания некоторых диаграмм в этой статье.
https://bloxy.info/

https://medium.com/@peckshield/bzx-hack-full-disclosure-with-detailed-profit-analysis-e6b1fa9b18fc
PeckShield Inc(С)

Ответ команды bzx на ситуацию
https://bzx.network/blog/postmortem-ethdenver

[zasad@]

https://medium.com/@whiterabbit_hq/black-thursday-for-makerdao-8-32-million-was-liquidated-for-0-dai-36b83cac56b6
whiterabbit(С)
Black Thursday for MakerDAO: $8.32 million was liquidated for 0 DAI

Перевод
Черный четверг для MakerDAO: $ 8,32 млн было ликвидировано за 0 DAI

• Ликвидация MakerDAO 12 и 13 марта привела к потерям для протокола в 5,67 млн. DAI
• Это произошло из-за возможности выиграть аукционы по ликвидации с нулевыми ставками, что составило 36% всех ликвидаций
• Самый большой Maker Vault потерял ~ 35 000 ETH, тогда как самый успешный ликвидатор получил прибыль в 30 000 ETH
• Всего через аукционы с нулевыми ставками было снято $ 8,32 млн.

Вступление
Падение цены эфира вместе с перегрузкой блокчейна привело к появлению отрицательного излишка системы в протоколе MakerDAO (задолженность перед платформой), которое появилось из-за того, что 5,67 млн ​​DAI не были обеспечены. Эта проблема возникла не из-за резкого падения цены и отсутствия залога, а из-за манипуляций со стороны инициативных хранителей (ликвидаторов).
Что на самом деле произошло:
1. Цена  газа для эфира  резко возросла из-за увеличения количества транзакций в блокчейне (частично из-за необходимости обновления оракулов Chainlink).
2.Этот значительный скачок привел к тому, что транзакции с обновлениями цены долго не отправлялись оракулами MakerDAO, несмотря на то, что цена уже выросла до 30 долларов. Кроме того, оракул получил рыночную цену позже из-за OSM (Oracle Security Module).
3.Ко времени обновления цены в протоколе появились возможности для ликвидации позиций. Следует отметить, что ликвидаторы используют сценарии от MakerDAO, которые не запрограммированы для корректировки высоких цен на газ. Это привело к тому, что количество ликвидаторов, которые могли участвовать в аукционах, сократилось.
4.Один из пользователей пришел к мысли, что проблемы с сетью создают уникальную возможность получить прибыль. Они начали посылать минимальную долю DAI в торгах на аукционе. Поскольку в то время не было конкурентов, они получили лоты до 50 ETH за свой DAI с почти нулевой ставкой.
5.Со временем состояние сети улучшилось, и другие ликвидаторы пповторили эту тактику.
6.Более того, владельцы позиций потеряли не только залог,  но и все обеспечение Maker Vault.

В результате владельцы Vault (position), протокол, а также владельцы MKR (подробнее об этом позже) понесли убытки. Лишь немногие ликвидаторы извлекли выгоду из этого события, а также держатели DAI, цена которых была выше $1 из-за отсутствия ликвидности.

Люди, обеспокоенные управлением MakerDAO, быстро заметили проблему, назвав этот день «черным четвергом», и собрались на Risk Call, чтобы спланировать будущие действия по устранению системного долга. Вместо экстренного глобального отключения был выбран менее бескомпромиссный вариант для экосистемы, а именно запуск аукциона долгов. На этом аукционе пользователи смогут купить выпущенные MKR для DAI. Аукцион разбавит долю токенов нынешних держателей MKR. Ожидается, что цена покупки составит 200 DAI, а размер лота - 250 MKR, что делает участие в аукционе довольно сложным для мелких игроков. Dharma создал Maker Backstop Syndicate, чтобы помочь им. Криптофонд Paradigm уже собрался принять участие в сделках.
https://twitter.com/paradigm/status/1238329819382681602
https://docs.google.com/document/d/1miS-snhSYBKwjQHM1MOPnLZZl9i2gj3zTcvuQWecV2M

В то же время на форуме MakerDAO были выбраны новые параметры системы, что должно исключить возможность повторения такого сценария ликвидации. Максимальный размер лота был увеличен с 50 до 500 ETH, а также увеличена продолжительность раундов аукциона. Трудно сказать, как это повлияет на систему, потому что такие параметры создают дополнительный риск и требуют большего капитала, но они, безусловно, усложняют мошеннические манипуляции в будущем. На данный момент эти параметры были реализованы, но это заняло целый день. Причиной этой задержки является GSM, который был активирован три недели назад, - модуль, который создает задержку между получением необходимого количества голосов и выполнением предложения. Rune упомянул на форуме, что отсутствие GSM решит проблему раньше, но безопасность - это всегда компромисс.
https://chat.makerdao.com/channel/governance-and-risk?msg=ydSpXHD7h4piCNMRM

Анализ
Чтобы построить целостную картину ситуации, необходимы данные о ликвидации за последние два дня. Мы собрали эти данные из блокчейна Ethereum.
Ниже приводится краткое резюме по собранным данным:
Во-первых, давайте посмотрим на ликвидацию за эти два дня в целом. Мы видим два пика, связанных с резкими изменениями в цене оракула: в диапазоне 15–16 часов (далее время в UTC) и после 00–01 часа следующего дня.


Может возникнуть вопрос: почему не произошло много ликвидаций после изменения цены в 14 часов сразу? Причина в том, что ликвидация - этот ставка, которая выиграла. После появления стратегии нулевой ставки некоторые ликвидаторы также решили использовать ее, что привело к появлению конкуренции. Это спасло определенную часть хранилищ.
Аукционы, на которых победитель получает 100% скидку на обеспечение, рассматриваются как ликвидация с нулевой ставкой. Совокупные убытки от аукционов с нулевыми заявками составили 8,325 млн долларов. Их распределение соответствовало предыдущему графику цены и количества ликвидаций:

[zasad@]

Из 3994 ликвидационных сделок было совершено 1462 (36,6%) с дисконтом 100%. Следовательно, более трети всех ликвидаций были практически бесплатными для хранителей:



Изучив данные, мы нашли четыре адреса, которые использовали стратегию с нулевыми ставками. Вместе они заработали 62 892,93 эфира:



Давайте посмотрим, когда каждый из аккаунтов выиграл первый аукцион с нулевой ставкой. Очевидно, что этот подход был успешно перенят конкурентами после того, как транзакции были включены в блокчейн:

https://etherscan.io/address/0x9c05a05893ada984fc20d0da0c046de5cc0e8273
2020–03–12 12:49:00

https://etherscan.io/address/0x9631a838a81d4050c43c66bc03a0cf414243f661
2020–03–12 13:02:39

https://etherscan.io/address/0xb00b6d69822da235a99d2242376066507c9a97b7
2020–03–12 13:09:52

https://etherscan.io/address/0xb400cd43dc25db30c07e665903a052ac120c30ad
2020–03–12 15:48:02

https://etherscan.io/address/0x6066be9369b4eaf5847c9f01eb52ae1e81f2d6b0
2020–03–12 16:59:02

https://etherscan.io/address/0xb8bbf36ba36fc78f3f137c514af33709fffba604
2020–03–12 20:46:31

https://etherscan.io/address/0xcdef772ca4f12c4fe23c09a3961186d065a6a4ca
2020–03–13 00:15:04

https://etherscan.io/address/0xc2f61a6eeec48d686901d325cde9233b81c793f3
2020–03–13 01:15:40

Мы изучили хранилища, и на приведенном ниже графике указаны 10 самых больших позиций по потерянному обеспечению, на котором заработали ликвидаторы:



Можно заметить, что один из адресов потерял около 35 000 Ether. Другие потеряли меньшие суммы, но они опубликовали об этом в социальных сетях: Vault # 849, Vault # 4458 и многие другие пользователи в Reddit.
https://www.reddit.com/r/MakerDAO/comments/fhs7kp/just_got_100_liquidated_with_my_1713_eth_cdp_fck/
https://www.reddit.com/r/MakerDAO/comments/fhn1qn/complete_vault_liquidation_no_eth_left/

Подводим итоги
Как мы видим, случай с ликвидацией оказал ощутимое влияние на сообщество и репутацию экосистемы Maker. Мы надеемся, что наши исследования помогут лучше понять ситуацию, а команда Maker преодолеет нынешние трудности.
Мы считаем, что сообщество должно быть открытым, а вся информация доступной, поэтому мы предоставляем данные, которые мы собрали и использовали:
https://www.dropbox.com/s/ovasjaf8gx03ko2/maker.csv?dl=0

О статье
Этот анализ был подготовлен командой Whiterabbit. Whiterabbit - исследовательская компания, предоставляющая широкий спектр услуг от крипто-консалтинга до интеллектуальных аудитов безопасности смартконтрактов.
Мы следуем миссии, направленной на то, чтобы стимулировать открытое и сознательное внедрение технологии, предоставляя экспертные знания и делая криптоэкосистему сильной и заслуживающей доверия. Много времени мы работали анонимно, но мы собираемся стать публичными, и это наша первая статья.

Если у вас есть какие-либо вопросы, не стесняйтесь писать:
whiter4bbit.hq@protonmail.com
телеграмм: ilyasleptsov

Мы участвуем и будем участвовать в создании открытой высококачественной аналитики, касающейся web3 и инструментов для ее работы, и мы создали грант Gitcoin. Мы ценим вашу поддержку и пожертвования, поскольку они позволяют нам проводить более глубокие исследования.
https://gitcoin.co/grants/471/whiterabbit

https://medium.com/@whiterabbit_hq/black-thursday-for-makerdao-8-32-million-was-liquidated-for-0-dai-36b83cac56b6

[sg1983]

На самом деле все эти события были ожидаемы исходя из самой сути залогового обеспечения правда я думал, что это произойдет позже, когда цена эфира повысится. И в целом хорошо, что это произошло сейчас и сообществом будут сделаны выводы и предприняты определенные меры дабы защититься от такого в дальнейшем.

[Vask]

Да тогда действительно был черный четверг для Maker.Dao, я чуть тоже не потерял свой залог. В тот момент и стоимость DAI тоже прыгала очень сильно. На текущий момент кроме аукционов по продаже mrk за dai, было предложенно решение в качестве обеспечения принимать кроме эфира еще USDC, чтобы как я понял гарантировать сохрание возврата при ликвидации позиции. 

[sg1983]

Да тогда действительно был черный четверг для Maker.Dao, я чуть тоже не потерял свой залог. В тот момент и стоимость DAI тоже прыгала очень сильно. На текущий момент кроме аукционов по продаже mrk за dai, было предложенно решение в качестве обеспечения принимать кроме эфира еще USDC, чтобы как я понял гарантировать сохрание возврата при ликвидации позиции. 

Вот это действительно правильное решение, а то по включали в качестве залога всякие малоликвидные щиткоины, которые при падении рынка летят еще сильнее чем эфир, а вот стейблкоин как раз и будет защитой от резких просадок. 

[Vask]

Да тогда действительно был черный четверг для Maker.Dao, я чуть тоже не потерял свой залог. В тот момент и стоимость DAI тоже прыгала очень сильно. На текущий момент кроме аукционов по продаже mrk за dai, было предложенно решение в качестве обеспечения принимать кроме эфира еще USDC, чтобы как я понял гарантировать сохрание возврата при ликвидации позиции. 

Вот это действительно правильное решение, а то по включали в качестве залога всякие малоликвидные щиткоины, которые при падении рынка летят еще сильнее чем эфир, а вот стейблкоин как раз и будет защитой от резких просадок. 

Кстати сейчас изменились и сроки проведения аукционов. Теперь есть встроенная задержка цены оракула плюс 6-часовая задержка аукциона. Поэтому, когда цена внезапно падает в полдень, аукционы начинаются только через некоторое время, скажем, в 13:00, а затем завершаются в 19:00.

[sg1983]

Да тогда действительно был черный четверг для Maker.Dao, я чуть тоже не потерял свой залог. В тот момент и стоимость DAI тоже прыгала очень сильно. На текущий момент кроме аукционов по продаже mrk за dai, было предложенно решение в качестве обеспечения принимать кроме эфира еще USDC, чтобы как я понял гарантировать сохрание возврата при ликвидации позиции. 

Вот это действительно правильное решение, а то по включали в качестве залога всякие малоликвидные щиткоины, которые при падении рынка летят еще сильнее чем эфир, а вот стейблкоин как раз и будет защитой от резких просадок. 

Кстати сейчас изменились и сроки проведения аукционов. Теперь есть встроенная задержка цены оракула плюс 6-часовая задержка аукциона. Поэтому, когда цена внезапно падает в полдень, аукционы начинаются только через некоторое время, скажем, в 13:00, а затем завершаются в 19:00.

О чем я и писал выше: хорошо что этот обвал случился сейчас, когда последствия были не такими страшными. А сейчас после стресс-теста были сделаны определенные выводы и предприняты определенные действия, что сделает систему стабильнее чем была.

[mikhailr]

Что то я стал сомневаться в безопасности DeFi. Сегодня хакеры опять взломали defi и украли 25$ млн. Возможно они использовали аналогичную схему взлома, той когда хакер украл 350к $

Эта новость вышла на Forklog: Хакеры вывели из DeFi-протокола dForce почти $25 млн

Ссылка на источник: https://forklog.com/hakery-vyveli-iz-defi-protokola-dforce-pochti-25-mln/

[zasad@]

https://defipulse.com/dforce
dForce присутствует в списке, работают они на эфире, токен стандарта ERC20.

Добавил в шапку


https://www.theblockcrypto.com/amp/linked/62346/multicoin-capital-backed-defi-protocol-dforce-loses-25m-total-locked-value-in-an-exploit
CELIA WAN (С)
Перевод

Многофункциональный DeFi-протокол dForce теряет $ 25M из за эксплойта.


Обновление (13:53 EST, 19.04.2020): Генеральный директор dForce Миндао Янг ​​только что подтвердил в своем блоге, что хакеры связались с командой, и команда намерена «вступить в дискуссию с ними».

Группа он заявил, что они «связались с правоохранительными органами в нескольких юрисдикциях, обратилась к эмитентам активов и биржам, чтобы отследить и занести в черный список адреса хакеров, и привлекли юридическую группу».

dForce, протокол китайской децентрализованной финансовой поддержки (DeFi), финансируемый Multicoin Capital.

По данным DeFi Pulse, общая стоимость, заблокированная в экосистеме dForce, за последние 24 часа снизилась на 100% до 6 долл. США. День назад общая стоимость, заблокированная в системе, составила 24,9 миллиона долларов. Веб-сайт Lendf.Me, кредитная платформа в экосистеме dForce, также недоступен.

В Telegram канале dForce  генеральный директор Миндао Янг ​​сказал, что команда все еще занимается исследованием проблемы, и посоветовал пользователям не предоставлять никаких активов в Lendf.Me сейчас. Команда также подтвердила на китайском  сайте ChainNews, что  Lendf.Me был атакован на блоке 9 899 681.

Хотя детали эксплойта еще не были раскрыты, стоит отметить, что в январе Lendf.Me интегрировался с imBTC, токеном Ethereum, привязанным к BTC. Ранее сегодня был задействован пул ликвидности для imBTC на децентрализованной бирже Uniswap, в результате чего были потеряны токены на сумму около 300 000 долларов.

Атака imBTC использовала тот факт, что imBTC использует стандарт ERC 777, который позволяет хакеру непрерывно вызывать смарт контракт Uniswap для вывода средств до того, как внешний баланс может быть обновлен.

В Твиттере некоторые пользователи предполагают, что Lendf.Me подвергся аналогичной атаке на imToken, поскольку записи транзакций показывают, что хакер неоднократно вызывал функцию вывода Lendf.Me, чтобы убрать imBTC, который был передан хакеру в протокол кредитования.

Эта схема, однако, не была новой. В 2016 году известный взломщик DAO использовал аналогичный механизм, который привел к краже эфира на 60 миллионов долларов.ConsenSys Аудит  в Uniswap в прошлом году также подробно рассмотрел эту уязвимость.

Запущенный в сентябре прошлого года, Lendf.Me смог вырасти в один из седьмого по величине рынка DeFi по значению, зафиксированному в DeFi Pulse до атаки. Однако, как ранее сообщалThe Block, что протокол кредитования Compound обвинил Lendf.Me в краже своего кода. Команда Lendf.Me позже добавила атрибуты Compound после выхода статьи на The Block.

15 апреля dForce только что объявила о раунде финансирования в размере 1,5 миллиона долларов США во главе с Multicoin Capital при участии Huobi Capital и China Merchants Bank International (CMBI), инвестиционного подразделения одного из крупнейших банков в Китае.

https://bloxy.info/ru/tx/0xba71621f393fcf2cf1a89579f47ca60038de760a2dc873166fe41daaa3650332

https://twitter.com/WooParadog/status/1251714612791324673?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1251714612791324673&ref_url=https%3A%2F%2Fforklog.com%2Fhakery-vyveli-iz-defi-protokola-dforce-pochti-25-mln%2F


"Это тот же самый эксплойт, хакер получил неограниченное количество залогов, а затем опустошил пул, заимствуя. "( перевод твитта)

[Piterg]

Хакер, похитивший на прошлой неделе $25 млн с DeFi-протокола dForce, вернул все средства на кошельки проекта (https://prometheus.ru/hakery-vernuli-vse-sredstva-defi-protokolu-dforce/).

По предварительным данным, это может быть связано с раскрытием правоохранителями IP-адреса злоумышленника.

Переговоры велись через комментарии к транзакциям в блокчейне Ethereum.