Сектор децентрализованных финансов (DeFi) продолжает привлекать повышенное внимание криптовалютных инвесторов. Наиболее важные события и новости последних недель ForkLog собрал в дайджесте.
Основные показатели DeFi-сегмента
Объем заблокированных средств (TVL) в DeFi-протоколах вырос до $51,5 млрд. Лидером стал Lido с показателем $20,7 млрд, а вторую и третью строчки рейтинга удерживают Maker ($8,4 млрд) и JustLend ($6,5 млрд) соответственно.
Данные: DeFi Llama.
TVL в Ethereum-приложениях вырос до $28,4 млрд. Объем торгов на децентрализованных биржах (DEX) за последние 30 дней составил $77,1 млрд.
Uniswap продолжает доминировать на рынке некастодиальных бирж — на ее долю приходится 55,7% совокупного оборота. Вторая DEX по объему торгов — PancakeSwap (15,1%), третья — Trader Joe (8%).
OKX DEX потеряла $2,76 млн в результате взлома
Децентрализованная биржа OKX подверглась эксплойту на $2,76 млн в результате предполагаемой утечки закрытого ключа администратора прокси-сервера. В такую сумму оценили ущерб специалисты PeckShield.
Согласно анализу SlowMist, при обмене на платформе пользователи авторизуют контракт TokenApprove, который затем передает токены пользователя.
Функция ClaimTokens позволяет доверенному прокси-серверу DEX совершать ее вызов. При этом серверы управляются администраторами, которые могут самостоятельно вносить изменения в смарт-контракт.
12 декабря владелец одного из серверов обновил его, что позволило напрямую вызывать ClaimTokens для передачи токенов пользователей. Этим эксплойтом и воспользовался злоумышленник.
Yearn Finance потерял $1,4 млн из-за ошибки с транзакцией
В результате «ошибочного сценария» мультисиг-транзакции DeFi-протокол Yearn Finance потерял 63% казначейских средств в пуле Lp yCRV.
Инцидент произошел в ходе «обычного процесса конвертации токенов комиссий» и привел к обмену 3 794 894 yCRV на 779 958 yvDAI. Команда уточнила, что потери составили $1,4 млн.
Токен ликвидного стейкинга yCRV презентует в пуле протокола монету CRV от Curve. Проект вкладывает в структуру средства для поддержки ликвидности и получает доход в виде комиссий.
Однако из-за сбоя в сценарии для обмена на DEX CoW Swap были отправлены все средства казначейства в одном из крупнейших пулов протокола. Сделка вызвала значительное проскальзывание цены, которым «воспользовались арбитражеры и другие участники рынка».
Разработчики пояснили, что ошибочный перевод всего баланса Yearn Finance в пуле был одним из 30 ордеров, совершаемых через мультисиг-транзакцию. Это затрудняло ее ручной контроль, а скрипт обмена комиссий «не имел достаточных проверок вывода и содержал логическую ошибку» в ограничении размера свопа.
Для предотвращения подобных инцидентов в Yearn Finance приняли ряд мер предосторожности, включая:
разделение фондов казначейства в пуле на контракты с отдельными управляющими;
внедрение более удобночитаемых выходных сообщений в торговых скриптах;
ужесточение пороговых значений воздействия на цену.
DeFi-проект SafeMoon подал заявление о банкротстве
14 декабря адвокат SafeMoon Марк Роуз подал заявление о банкротстве DeFi-проекта. Токен SFM отреагировал резким падением.
Документы по Главе 7 Кодекса США о банкротстве направлены в суд округа Юта. Компания SafeMoon US LLC оценила свои активы в диапазоне от $10 млн до $50 млн, обязательства — от $100 001 до $500 000.
На фоне новости токен SFM обвалился до отметок $0,000055. За последнюю неделю монета потеряла 22,4%, согласно CoinGecko.
Часовой график SFM/USDT биржи Gate.io. Данные: TradingView.
Взломщик Nirvana Finance согласился вернуть $12,3 млн
Хакер, ответственный за взлом протокола доходного фермерства Nirvana Finance и неназванной DEX, признал вину и согласился на конфискацию похищенных активов на сумму $12,3 млн.
По данным прокуратуры США, летом 2022 года 34-летний старший инженер по безопасности Шакиб Ахмед воспользовался уязвимостью в смарт-контракте неназванной биржи.
Несколько недель спустя он атаковал Nirvana Finance с использованием мгновенного займа и вывел из казны проекта $3,49 млн в криптовалютах. Хотя разработчики протокола предлагали хакеру награду, стороны так и не пришли к соглашению. Похищенные средства злоумышленник обменял на Monero и пропустил через миксер Samourai Whirlpool.
В июле Ахмеду предъявили обвинение в электронном мошенничестве и отмывании денег. Помимо конфискации украденной криптовалюты, его обязали выплатить жертвам компенсацию в размере $5 млн.
Окончательный приговор по делу вынесут 13 марта 2024 года. Ахмеду грозит до пяти лет тюремного заключения.
Также на ForkLog:
Coinbase впервые провела листинг токена из сети Base.
DEX Uniswap запустили на биткоин-сайдчейне Rootstock.
Суд прекратил уголовное преследование взломщика Platypus Finance.
