Home » » رمزگشایی حملات به آلفا و کرم - زمانی که همکاری DeFi مورد آزمایش قرار می گیرد

رمزگشایی حملات به آلفا و کرم - زمانی که همکاری DeFi مورد آزمایش قرار می گیرد

رمزگشایی حملات به آلفا و کرم - زمانی که همکاری DeFi مورد آزمایش قرار می گیرد. این مقاله هک های اخیر و درس های مربوط به فضای DeFi را بازگو می کند.

در 10 دقیقه قیمت کرم گاهی اوقات بیش از 30 درصد سقوط کرد، قیمت آلفا نیز به شدت کاهش یافت!

حمله اخیر Cream یکی از پیچیده ترین حملات در تاریخ DeFi محسوب می شود. این یک داستان خوب در مورد آزمایش همکاری در DeFi است، درسی که هر پروژه یا سرمایه‌گذاری باید به آن توجه کند.

مقاله زیر از منابع بسیاری برای ارسال پیشرفت حمله، تجزیه و تحلیل آن رویداد و درس های آموخته شده برای توسعه فضای DeFi برای بهتر شدن و بهتر شدن به شما ارجاع داده شده است. 

بیا شروع کنیم!

تحولات

در زیر قرارداد هک آمده است: https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

IronBank Cream هک شد و مجموعاً 37.5 میلیون دلار خسارت وارد کرد. 

بر اساس اطلاعات تراکنش، مهاجم از Alpha Homora استفاده می کند و sUSD را از IronBank وام می گیرد، هر بار دو برابر بیشتر.

توجه : آیرون بانک محصول جدید کرم است که از طریق پروژه های لیست سفید آیرون بانک قادر به استقراض دارایی از کرم بدون وثیقه خواهد بود. 

جزئیات را می توان در اینجا یافت.

مهاجم ابتدا 2 تراکنش انجام می دهد و دارایی ها را برای دریافت cySUSD به IronBank می فرستد. سپس با استفاده از flashloan از Aave v2، از طریق Curve اقدام به تبدیل USDC به sUSD کرد.

رمزگشایی حملات به آلفا و کرم - زمانی که همکاری DeFi مورد آزمایش قرار می گیرد

سپس مهاجم sUSD را به IronBank ارسال می کند و به او اجازه می دهد تا به وام گرفتن، وام دادن و دریافت cySUSD ادامه دهد (بخشی از sUSD برای پرداخت هزینه تراکنش استفاده می شود). علاوه بر این، 10 میلیون دلار با استفاده از وام های فلش وام گرفته شد و همچنان برای افزایش مبلغ cySUSD استفاده شد.

در نهایت، مهاجم آنقدر cySUSD داشت که توانست هر چیزی را از Ironbank قرض بگیرد.

رمزگشایی حملات به آلفا و کرم - زمانی که همکاری DeFi مورد آزمایش قرار می گیرد

در این مرحله، مهاجم قرض می گیرد:

  • 13.2 هزار وزن
  • 3.6 میلیون دلار آمریکا
  • 5.6 میلیون دلار
  • طول 4.2M

رمزگشایی حملات به آلفا و کرم - زمانی که همکاری DeFi مورد آزمایش قرار می گیرد

بالاخره او:

  • استیبل کوین ها را به Aave V2 سپرده گذاری کنید.
  • خیریه 1k ETH: بازگشت به IronBank و Homora.
  • پول شویی (220 ETH) از طریق Tornado Cash.
  • و حدود 11 هزار ETH باقیمانده در آدرس کیف پول مهاجم است.

رمزگشایی حملات به آلفا و کرم - زمانی که همکاری DeFi مورد آزمایش قرار می گیرد

درام شروع شد!!

این حمله آسیب زیادی به Cream Finance وارد کرد، اما به زودی پروژه توییت کرد که پروتکل آنها به درستی کار می کند و هک نشده است.

اگر کرم قربانی نبود، پس چه کسی مورد حمله قرار گرفت؟ همه نگاه ها روی آلفا فاینانس متمرکز شد، اما این پروژه مراحل پردازش سریع و اطلاعات کاملاً به روز شده را برای کاربران تنها پس از چند ساعت داشت.

مروری بر گزارش های حوادث از آلفا

  1. مهاجم ETH را از Ironbank Cream با استفاده از sUSD به عنوان وثیقه وام می گیرد.
  2. مهاجم وام sUSD را بازپرداخت می کند. با این حال، به دلیل وجود اشکال در محصول آلفا، مهاجم می تواند از این طریق مقدار کمی پول به دست آورد.
  3. آنقدر این کار را تکرار کنید تا آن عدد از 7 عدد عبور کند.
  4. در این زمان آلفا هومورا بدهی هنگفتی به IronBank داشت، اما البته بدهکار در حال فرار بود.
  5. او از طریق تورنادو کش پول شویی کرد و 1000 ETH به آلفا و کرم پس داد.

توجه : این باعث نمی‌شود که وام‌دهندگان کرم مستقیما دارایی‌های خود را از دست بدهند، در عوض آن‌ها بدهی هنگفتی از Alpha Homora دارند. 

قربانی کیست؟

کرم و آلفا پس قربانی کیست؟

طرف های درگیر در این حمله عبارتند از:

  • Cream v2 : با یکپارچه سازی فشرده در سطح قرارداد با Alpha Homora v2 موافقت شد.
  • Alpha Homora v2 : در سطح قرارداد با قرض گرفتن دارایی از Cream v2 بدون وثیقه موافقت کنید.
  • Lender on Cream : وقتی جامعه با توافقی در مورد همکاری فشرده بین Cream و Alpha موافقت می کند، به این معنی است که وام دهنده نه تنها به کاربران Cream بلکه به کاربران Alpha Homora v2 نیز وام می دهد.
  • قرض گیرنده در آلفا : مشابه وام گیرنده در آلفا نه تنها از آلفا وام می گیرید، بلکه از Cream v2 نیز قرض می گیرید. مهاجم متعلق به این گروه است و به عنوان وام گیرنده با نیت بد طبقه بندی می شود.

رمزگشایی حملات به آلفا و کرم - زمانی که همکاری DeFi مورد آزمایش قرار می گیرد

همین الان:

  • در سطح اساسی : Alpha Homora مدیون Cream v2 است.
  • نگاه عمیق تر : دارایی های وام دهندگان روی Cream توسط طرف با نیت بد قرض گرفته می شود.

با تحلیل فوق الفا باید طرف جبران خسارت کرم باشد. با این حال، از منظر فنی، کرم مسئول تامین دارایی های وام دهنده است. بنابراین آلفا می تواند به طور کامل از مسئولیت صرف نظر کند و همکاری را لغو کند و آن بدهی بد را به کاربران کرم واگذار کند.

البته با شهرت و موفقیت فعلی، توانایی آلفا در انجام این کار بسیار کم است. اما این حمله یک مشکل موجود در همکاری بین پروژه ها در DeFi را برجسته کرد.

نتیجه

نکته جالب بعدی این است که با وجود اینکه این حمله از طریق قرارداد آلفا انجام شد، اما این کرم بود که آسیب بیشتری دید. AUM کرم (دارایی های تحت مدیریت) تنها در یک روز از 700 میلیون به 200 میلیون کاهش یافت و قیمت توکن 30 درصد کاهش یافت. در مقابل، AUM آلفا تنها 10 درصد کاهش یافت و فروش توکن ناچیز بود.

علت این پارادوکس می تواند به این دلیل باشد:

  1. کرم اولین کسی بود که به بازار آمد، بنابراین فروش وحشتناک تأثیر زیادی روی آنها داشت.
  2. وام دهندگان Cream متوجه شدند که آنها بیشترین آسیب را متحمل شدند (به غیر از کاهش قیمت توکن، کاربران آلفا تقریباً هیچ ضرری نبردند).

وام دادن به بازاری با اهرم x9 حتی قبل از حمله بسیار خطرناک بود و وام دهندگان Cream به طور فزاینده ای از این موضوع آگاه می شوند.

درس

این حملات ثابت کرده است که DeFi در حال حاضر هنوز بسیار جوان است و خطر برای کاربران بسیار زیاد است. ممیزی بسیار زمان بر و پرهزینه است و حتی پس از انجام ممیزی، اگر محصول با سلیقه مطابقت نداشته باشد، همه چیز با شکست مواجه می شود. 

آلفا دو بار ممیزی کرد و همچنان هک شد، این حمله به قدری پیچیده بود که توسعه دهندگان و محققان ساعت ها طول کشید تا ماهیت مشکل را درک کنند. 

هفته گذشته yDAI (1 Yearn's vault) هک شد، تیم توسعه راه حلی برای باز کردن خزانه ارائه کرد تا خسارت همه را جبران کند. با این حال، با آلفا، بازاری که توکن‌های آن‌ها را به عنوان بدهی می‌پذیرد بسیار کوچک است، بنابراین اگر آلفا بخواهد جبران کند، باید با وام دهندگان قرارداد جداگانه‌ای ببندد.

از حملات فوق، راه حل های زیادی برای تضمین امنیت و ایمنی پروژه ها و کاربران مورد نیاز خواهد بود. چند پیشنهاد عبارتند از:

  1. تست های خودکار انجام دهید و به طور مداوم مقایسه کنید و از صحت الگوریتم اطمینان حاصل کنید.
  2. Scale TVL به آرامی ایمنی را در هر مرحله تضمین می کند تا آسیب را تا حد امکان به حداقل برساند.

پایان

خط بین ریسک و اثربخشی بیشتر و بیشتر مورد آزمایش قرار می گیرد و هر حمله درسی برای بلوغ DeFi است.

برای خود سرمایه گذاران، قبل از ورود به پروژه، تخصیص مناسب سرمایه و صرف زمان برای درک سیستم یک پیش نیاز است. علاوه بر این، مشاهده تصمیم و اقدام پروژه پس از حمله نیز آزمون خوبی است تا ببینید آیا تیم سازنده واقعاً به محصول خود علاقه مند هستند یا خیر.

"بازده همراه با ریسک است"

لینک مرجع: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f


Tags: #اخبار #پر #ژه ها

منازعه بین ریف فاینانس (REEF) و تحقیقات آلامدا

منازعه بین ریف فاینانس (REEF) و تحقیقات آلامدا

اخیراً Reef Finance با یک صندوق سرمایه گذاری معروف به نام Alameda Research روابط پر فراز و نشیب داشته است. داستان چگونه است؟

Ancient8 - انجمن بازی سازی میلیون دلاری برای اولین بازیکنی در ویتنام سرمایه گذاری می کند که برای همیشه استخدام می کند.

Ancient8 - انجمن بازی سازی میلیون دلاری برای اولین بازیکنی در ویتنام سرمایه گذاری می کند که برای همیشه استخدام می کند.

Ancient8 در حال جذب و جستجوی نامزدهایی برای تبدیل شدن به ژنرال ها و سربازان ماهر Lac در دنیای جدید Crypto است.

تئوری داو چیست؟ تحلیل تکنیکال در دنیای ارزهای دیجیتال

تئوری داو چیست؟ تحلیل تکنیکال در دنیای ارزهای دیجیتال

تئوری داو یک اصل کلیدی در تحلیل تکنیکال است که به درک بهتر بازارهای مالی، خصوصاً عرصه کریپتو کمک می‌کند.

منازعه بین ریف فاینانس (REEF) و تحقیقات آلامدا

منازعه بین ریف فاینانس (REEF) و تحقیقات آلامدا

اخیراً Reef Finance با یک صندوق سرمایه گذاری معروف به نام Alameda Research روابط پر فراز و نشیب داشته است. داستان چگونه است؟

مینا با Polygon همکاری می کند

مینا با Polygon همکاری می کند

Mina و Polygon برای توسعه محصولاتی که مقیاس‌پذیری، تأیید بهبود یافته و حفظ حریم خصوصی را افزایش می‌دهند، با یکدیگر همکاری خواهند کرد.

تحلیل مدل عملیاتی Uniswap V2 (UNI) - بنیاد AMM

تحلیل مدل عملیاتی Uniswap V2 (UNI) - بنیاد AMM

تحلیل و ارزیابی مدل عملیاتی Uniswap V2، ابتدایی ترین مدل برای هر AMM.

دستورالعمل استفاده از صرافی Remitano: خرید و فروش بیت کوین در صرافی Remitano

دستورالعمل استفاده از صرافی Remitano: خرید و فروش بیت کوین در صرافی Remitano

صرافی Remitano اولین صرافی است که امکان خرید و فروش ارزهای دیجیتال را در VND می دهد. دستورالعمل ثبت نام در Remitano و خرید و فروش بیت کوین به طور دقیق در اینجا!

دستورالعمل‌های شرکت در شبکه آزمایشی Tenderize در Solana مفصل و قابل درک است

دستورالعمل‌های شرکت در شبکه آزمایشی Tenderize در Solana مفصل و قابل درک است

این مقاله کامل ترین و دقیق ترین دستورالعمل های استفاده از شبکه تست Tenderize را در اختیار شما قرار می دهد.

راهنمای کامل و دقیق استفاده از انبه مارکت

راهنمای کامل و دقیق استفاده از انبه مارکت

این مقاله کامل ترین و دقیق ترین راهنمای استفاده از Mango Markets را در اختیار شما قرار می دهد تا عملکرد کامل این پروژه جدید را در Solana تجربه کنید.

سری UNLOCKED شماره 1 - افزایش امنیت شما در برنامه Super Coin98

سری UNLOCKED شماره 1 - افزایش امنیت شما در برنامه Super Coin98

در اولین قسمت از سری UNLOCKED، با استفاده از تنظیمات امنیتی، یک لایه امنیتی اضافی به کیف پول شما اضافه می کنیم.

چگونه با خیال راحت کریپتو را پرورش دهیم و به DeFi بپیوندیم؟

چگونه با خیال راحت کریپتو را پرورش دهیم و به DeFi بپیوندیم؟

کشاورزی فرصت خوبی برای کاربران است تا بتوانند به راحتی ارز دیجیتال در DeFi کسب کنند. اما راه درست برای کشاورزی کریپتو و پیوستن ایمن به DeFi چیست؟

ارزش گذاری DeFi: آیا می توان DeFi را بر اساس جریان نقدی قیمت گذاری کرد؟

ارزش گذاری DeFi: آیا می توان DeFi را بر اساس جریان نقدی قیمت گذاری کرد؟

در این مقاله نظر نویسنده @jdorman81 درباره موضوع ارزش گذاری در دفی به همراه برخی نظرات شخصی مترجم ترجمه شده است.
Sign up and Earn ⋙
Sign up and Earn ⋙