رمزگشایی حملات به آلفا و کرم - زمانی که همکاری DeFi مورد آزمایش قرار می گیرد

رمزگشایی حملات به آلفا و کرم - زمانی که همکاری DeFi مورد آزمایش قرار می گیرد. این مقاله هک های اخیر و درس های مربوط به فضای DeFi را بازگو می کند.

در 10 دقیقه قیمت کرم گاهی اوقات بیش از 30 درصد سقوط کرد، قیمت آلفا نیز به شدت کاهش یافت!

حمله اخیر Cream یکی از پیچیده ترین حملات در تاریخ DeFi محسوب می شود. این یک داستان خوب در مورد آزمایش همکاری در DeFi است، درسی که هر پروژه یا سرمایه‌گذاری باید به آن توجه کند.

مقاله زیر از منابع بسیاری برای ارسال پیشرفت حمله، تجزیه و تحلیل آن رویداد و درس های آموخته شده برای توسعه فضای DeFi برای بهتر شدن و بهتر شدن به شما ارجاع داده شده است. 

بیا شروع کنیم!

تحولات

در زیر قرارداد هک آمده است: https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

IronBank Cream هک شد و مجموعاً 37.5 میلیون دلار خسارت وارد کرد. 

بر اساس اطلاعات تراکنش، مهاجم از Alpha Homora استفاده می کند و sUSD را از IronBank وام می گیرد، هر بار دو برابر بیشتر.

توجه : آیرون بانک محصول جدید کرم است که از طریق پروژه های لیست سفید آیرون بانک قادر به استقراض دارایی از کرم بدون وثیقه خواهد بود. 

جزئیات را می توان در اینجا یافت.

مهاجم ابتدا 2 تراکنش انجام می دهد و دارایی ها را برای دریافت cySUSD به IronBank می فرستد. سپس با استفاده از flashloan از Aave v2، از طریق Curve اقدام به تبدیل USDC به sUSD کرد.

سپس مهاجم sUSD را به IronBank ارسال می کند و به او اجازه می دهد تا به وام گرفتن، وام دادن و دریافت cySUSD ادامه دهد (بخشی از sUSD برای پرداخت هزینه تراکنش استفاده می شود). علاوه بر این، 10 میلیون دلار با استفاده از وام های فلش وام گرفته شد و همچنان برای افزایش مبلغ cySUSD استفاده شد.

در نهایت، مهاجم آنقدر cySUSD داشت که توانست هر چیزی را از Ironbank قرض بگیرد.

در این مرحله، مهاجم قرض می گیرد:

• 13.2 هزار وزن
• 3.6 میلیون دلار آمریکا
• 5.6 میلیون دلار
• طول 4.2M

بالاخره او:

• استیبل کوین ها را به Aave V2 سپرده گذاری کنید.
• خیریه 1k ETH: بازگشت به IronBank و Homora.
• پول شویی (220 ETH) از طریق Tornado Cash.
• و حدود 11 هزار ETH باقیمانده در آدرس کیف پول مهاجم است.

درام شروع شد!!

این حمله آسیب زیادی به Cream Finance وارد کرد، اما به زودی پروژه توییت کرد که پروتکل آنها به درستی کار می کند و هک نشده است.

اگر کرم قربانی نبود، پس چه کسی مورد حمله قرار گرفت؟ همه نگاه ها روی آلفا فاینانس متمرکز شد، اما این پروژه مراحل پردازش سریع و اطلاعات کاملاً به روز شده را برای کاربران تنها پس از چند ساعت داشت.

مروری بر گزارش های حوادث از آلفا

1. مهاجم ETH را از Ironbank Cream با استفاده از sUSD به عنوان وثیقه وام می گیرد.
2. مهاجم وام sUSD را بازپرداخت می کند. با این حال، به دلیل وجود اشکال در محصول آلفا، مهاجم می تواند از این طریق مقدار کمی پول به دست آورد.
3. آنقدر این کار را تکرار کنید تا آن عدد از 7 عدد عبور کند.
4. در این زمان آلفا هومورا بدهی هنگفتی به IronBank داشت، اما البته بدهکار در حال فرار بود.
5. او از طریق تورنادو کش پول شویی کرد و 1000 ETH به آلفا و کرم پس داد.

توجه : این باعث نمی‌شود که وام‌دهندگان کرم مستقیما دارایی‌های خود را از دست بدهند، در عوض آن‌ها بدهی هنگفتی از Alpha Homora دارند. 

قربانی کیست؟

کرم و آلفا پس قربانی کیست؟

طرف های درگیر در این حمله عبارتند از:

• Cream v2 : با یکپارچه سازی فشرده در سطح قرارداد با Alpha Homora v2 موافقت شد.
• Alpha Homora v2 : در سطح قرارداد با قرض گرفتن دارایی از Cream v2 بدون وثیقه موافقت کنید.
• Lender on Cream : وقتی جامعه با توافقی در مورد همکاری فشرده بین Cream و Alpha موافقت می کند، به این معنی است که وام دهنده نه تنها به کاربران Cream بلکه به کاربران Alpha Homora v2 نیز وام می دهد.
• قرض گیرنده در آلفا : مشابه وام گیرنده در آلفا نه تنها از آلفا وام می گیرید، بلکه از Cream v2 نیز قرض می گیرید. مهاجم متعلق به این گروه است و به عنوان وام گیرنده با نیت بد طبقه بندی می شود.

همین الان:

• در سطح اساسی : Alpha Homora مدیون Cream v2 است.
• نگاه عمیق تر : دارایی های وام دهندگان روی Cream توسط طرف با نیت بد قرض گرفته می شود.

با تحلیل فوق الفا باید طرف جبران خسارت کرم باشد. با این حال، از منظر فنی، کرم مسئول تامین دارایی های وام دهنده است. بنابراین آلفا می تواند به طور کامل از مسئولیت صرف نظر کند و همکاری را لغو کند و آن بدهی بد را به کاربران کرم واگذار کند.

البته با شهرت و موفقیت فعلی، توانایی آلفا در انجام این کار بسیار کم است. اما این حمله یک مشکل موجود در همکاری بین پروژه ها در DeFi را برجسته کرد.

نتیجه

نکته جالب بعدی این است که با وجود اینکه این حمله از طریق قرارداد آلفا انجام شد، اما این کرم بود که آسیب بیشتری دید. AUM کرم (دارایی های تحت مدیریت) تنها در یک روز از 700 میلیون به 200 میلیون کاهش یافت و قیمت توکن 30 درصد کاهش یافت. در مقابل، AUM آلفا تنها 10 درصد کاهش یافت و فروش توکن ناچیز بود.

علت این پارادوکس می تواند به این دلیل باشد:

1. کرم اولین کسی بود که به بازار آمد، بنابراین فروش وحشتناک تأثیر زیادی روی آنها داشت.
2. وام دهندگان Cream متوجه شدند که آنها بیشترین آسیب را متحمل شدند (به غیر از کاهش قیمت توکن، کاربران آلفا تقریباً هیچ ضرری نبردند).

وام دادن به بازاری با اهرم x9 حتی قبل از حمله بسیار خطرناک بود و وام دهندگان Cream به طور فزاینده ای از این موضوع آگاه می شوند.

درس

این حملات ثابت کرده است که DeFi در حال حاضر هنوز بسیار جوان است و خطر برای کاربران بسیار زیاد است. ممیزی بسیار زمان بر و پرهزینه است و حتی پس از انجام ممیزی، اگر محصول با سلیقه مطابقت نداشته باشد، همه چیز با شکست مواجه می شود. 

آلفا دو بار ممیزی کرد و همچنان هک شد، این حمله به قدری پیچیده بود که توسعه دهندگان و محققان ساعت ها طول کشید تا ماهیت مشکل را درک کنند. 

هفته گذشته yDAI (1 Yearn's vault) هک شد، تیم توسعه راه حلی برای باز کردن خزانه ارائه کرد تا خسارت همه را جبران کند. با این حال، با آلفا، بازاری که توکن‌های آن‌ها را به عنوان بدهی می‌پذیرد بسیار کوچک است، بنابراین اگر آلفا بخواهد جبران کند، باید با وام دهندگان قرارداد جداگانه‌ای ببندد.

از حملات فوق، راه حل های زیادی برای تضمین امنیت و ایمنی پروژه ها و کاربران مورد نیاز خواهد بود. چند پیشنهاد عبارتند از:

1. تست های خودکار انجام دهید و به طور مداوم مقایسه کنید و از صحت الگوریتم اطمینان حاصل کنید.
2. Scale TVL به آرامی ایمنی را در هر مرحله تضمین می کند تا آسیب را تا حد امکان به حداقل برساند.

پایان

خط بین ریسک و اثربخشی بیشتر و بیشتر مورد آزمایش قرار می گیرد و هر حمله درسی برای بلوغ DeFi است.

برای خود سرمایه گذاران، قبل از ورود به پروژه، تخصیص مناسب سرمایه و صرف زمان برای درک سیستم یک پیش نیاز است. علاوه بر این، مشاهده تصمیم و اقدام پروژه پس از حمله نیز آزمون خوبی است تا ببینید آیا تیم سازنده واقعاً به محصول خود علاقه مند هستند یا خیر.

"بازده همراه با ریسک است"

لینک مرجع: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f