अल्फा और क्रीम पर डिक्रिप्टिंग अटैक - जब डेफी सहयोग का परीक्षण किया जाता है

अल्फा और क्रीम पर डिकोडिंग अटैक - जब डेफी सहयोग का परीक्षण किया जाता है। लेख में हाल के हैक और डेफी स्पेस के सबक का वर्णन किया गया है।

10 मिनट में CREAM की कीमत कभी कभी 30% से ज्यादा गिर जाती है, अल्फा की कीमत भी तेजी से गिरती है!

क्रीम के हालिया हमले को डेफी के इतिहास में सबसे जटिल हमलों में से एक माना जाता है। डीआईएफआई में सहयोग का परीक्षण करने के बारे में यह एक अच्छी कहानी है, एक सबक जिसे किसी भी परियोजना या निवेशक को ध्यान देना चाहिए।

निम्नलिखित लेख आपको हमले की प्रगति भेजने, उस घटना का विश्लेषण करने और बेहतर और बेहतर बनने के लिए डेफी स्पेस को विकसित करने के लिए सीखे गए पाठों को भेजने के लिए कई स्रोतों से संदर्भित किया गया है। 

आएँ शुरू करें!

घटनाक्रम

नीचे हैक का अनुबंध है: https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

क्रीम के आयरनबैंक को हैक कर लिया गया, जिससे कुल 37.5 मिलियन डॉलर का नुकसान हुआ। 

लेन-देन की जानकारी के आधार पर, हमलावर अल्फा होमोरा का उपयोग करता है और आयरनबैंक से हर बार दोगुना उधार लेता है।

नोट : आयरन बैंक क्रीम का एक नया उत्पाद है, आयरन बैंक श्वेतसूचीबद्ध परियोजनाओं के माध्यम से बिना जमानत के क्रीम से संपत्ति उधार ले सकेगा। 

विवरण यहां पाया जा सकता है।

हमलावर पहले 2 लेनदेन करता है और cySUSD प्राप्त करने के लिए आयरनबैंक को संपत्ति भेजता है। इसके बाद Aave v2 से फ्लैश लोन का उपयोग करते हुए, उन्होंने कर्व के माध्यम से USDC को sUSD में परिवर्तित किया।

इसके बाद हमलावर आयरनबैंक को sUSD भेजता है, जिससे उसे उधार लेना, उधार देना और प्राप्त करना जारी रखने की अनुमति मिलती है (sUSD का हिस्सा लेनदेन शुल्क का भुगतान करने के लिए उपयोग किया जाता है)। इसके अलावा, फ्लैश ऋण का उपयोग करके 10 मिलियन अमरीकी डालर का उधार लिया गया था , और इसका उपयोग cySUSD की राशि को बढ़ाने के लिए जारी रखा गया था।

अंत में, हमलावर के पास इतना cySUSD था कि वह आयरनबैंक से कुछ भी उधार लेने में सक्षम था।

इस बिंदु पर, हमलावर उधार लेता है:

• 13.2K WETH
• 3.6M यूएसडीसी
• 5.6 मिलियन अमरीकी डालर
• 4.2M लंबा

अंत में वह:

• Aave V2 में स्थिर स्टॉक जमा करें।
• 1k ETH "चैरिटी: आयरनबैंक और होमोरा पर वापस।
• टॉरनेडो कैश के माध्यम से मनी लॉन्ड्रिंग (220 ETH)।
• और शेष लगभग 11k ETH हमलावर के बटुए के पते में है।

ड्रामा शुरू !!

हमले ने क्रीम फाइनेंस को बहुत नुकसान पहुंचाया, लेकिन जल्द ही परियोजना ने ट्वीट किया कि उनका प्रोटोकॉल ठीक से काम कर रहा था और हैक नहीं किया गया था।

अगर क्रीम शिकार नहीं थी, तो हमला करने वाला कौन था? सभी की निगाहें अल्फा फाइनेंस पर केंद्रित होने लगीं, लेकिन परियोजना में त्वरित प्रसंस्करण कदम थे और कुछ ही घंटों के बाद उपयोगकर्ताओं के लिए पूरी तरह से अद्यतन जानकारी थी।

Alpha . से घटना रिपोर्ट का एक सिंहावलोकन

1. हमलावर ने एसयूएसडी को संपार्श्विक के रूप में उपयोग करते हुए क्रीम के आयरनबैंक से ईटीएच उधार लिया।
2. हमलावर sUSD ऋण चुकाता है। हालाँकि, Alpha के उत्पाद में एक बग के कारण एक हमलावर इसके माध्यम से बहुत कम पैसा कमा सकता है।
3. तब तक दोहराएं जब तक वह संख्या 7 संख्याओं को पार न कर ले।
4. इस समय आयरनबैंक के साथ अल्फा होमोरा का बहुत बड़ा कर्ज था, लेकिन निश्चित रूप से देनदार पहले से ही भाग रहा था।
5. उन्होंने टॉरनेडो कैश के माध्यम से धन का शोधन किया और अल्फा और क्रीम को 1,000 ईटीएच वापस कर दिया।

नोट : इससे क्रीम के उधारदाताओं को सीधे अपनी संपत्ति खोने का कारण नहीं बनता है, इसके बजाय वे अल्फा होमोरा से भारी कर्ज लेते हैं। 

शिकार कौन है?

क्रीम और अल्फा, तो शिकार कौन है?

हमले में शामिल पक्षों में शामिल हैं:

• क्रीम v2 : अल्फा होमोरा v2 के साथ अनुबंध-स्तर के गहन एकीकरण के लिए सहमत।
• अल्फा होमोरा v2 : क्रीम v2 से बिना संपार्श्विक के संपत्ति उधार लेने के लिए अनुबंध स्तर पर सहमत हैं।
• क्रीम पर ऋणदाता : जब समुदाय क्रीम और अल्फा के बीच गहन सहयोग पर एक समझौते के लिए सहमत होता है, तो इसका मतलब है कि ऋणदाता न केवल क्रीम उपयोगकर्ताओं को बल्कि अल्फा होमोरा v2 उपयोगकर्ताओं को भी उधार देता है।
• अल्फा पर उधारकर्ता : अल्फा पर उधारकर्ता के समान न केवल अल्फा से बल्कि क्रीम v2. हमलावर इस समूह से संबंधित है और उसे बुरे इरादों वाले उधारकर्ता के रूप में वर्गीकृत किया गया है।

अभी इस वक्त:

• मौलिक स्तर पर : अल्फा होमोरा क्रीम v2.
• गहराई से देखें: क्रीम पर उधारदाताओं से संपत्तियां पार्टी द्वारा बुरे इरादों से उधार ली जा रही हैं।

उपरोक्त विश्लेषण के साथ, अल्फा को क्रीम के नुकसान की भरपाई करने वाला पक्ष होना चाहिए। हालांकि, तकनीकी दृष्टिकोण से, क्रीम ऋणदाता की संपत्ति को सुरक्षित करने के लिए जिम्मेदार पार्टी है। तो अल्फा पूरी तरह से जिम्मेदारी छोड़ सकता है और सहयोग को रद्द कर सकता है, क्रीम के उपयोगकर्ताओं के लिए उस बुरे कर्ज को छोड़ सकता है।

बेशक वर्तमान की प्रतिष्ठा और सफलता के साथ, अल्फा की ऐसा करने की क्षमता बहुत कम है। लेकिन हमले ने डेफी में परियोजनाओं के बीच सहयोग के साथ एक मौजूदा समस्या को उजागर किया।

परिणाम

अगली दिलचस्प बात यह है कि भले ही हमला अल्फा के अनुबंध के माध्यम से किया गया था, लेकिन क्रीम को और अधिक नुकसान उठाना पड़ा। क्रीम का एयूएम (प्रबंधन के तहत संपत्ति) सिर्फ 1 दिन में 700 मिलियन से गिरकर 200 मिलियन हो गया और टोकन की कीमत 30% गिर गई। इसके विपरीत, अल्फा के एयूएम में केवल 10% की कमी आई और टोकन बिक्री नगण्य थी।

इस विरोधाभास का कारण निम्न हो सकता है:

1. क्रीम सबसे पहले सामने आई थी, इसलिए पैनिक-सेलिंग का उन पर गहरा असर पड़ा।
2. क्रीम के उधारदाताओं ने महसूस किया कि वे सबसे अधिक पीड़ित थे (टोकन की कीमतों में गिरावट के अलावा, अल्फा उपयोगकर्ताओं को लगभग कुछ भी नहीं हुआ)।

हमले से पहले भी x9 उत्तोलन के साथ बाजार को उधार देना बहुत जोखिम भरा था, और क्रीम के ऋणदाता इसके बारे में तेजी से जागरूक हो रहे हैं।

पाठ

इन हमलों ने साबित कर दिया है कि वर्तमान में डेफी अभी भी बहुत छोटा है और उपयोगकर्ताओं के लिए जोखिम बहुत अच्छा है। ऑडिटिंग बहुत समय लेने वाली और महंगी है और ऑडिट हो जाने के बाद भी, यदि उत्पाद स्वाद से मेल नहीं खाता है, तो सब कुछ विफल हो जाएगा। 

अल्फा ने दो बार ऑडिट किया और फिर भी हैक हो गया, हमला इतना जटिल था कि समस्या की प्रकृति को समझने में डेवलपर्स और शोधकर्ताओं को घंटों लग गए। 

पिछले हफ्ते yDAI (1 साल की तिजोरी) को हैक कर लिया गया था, विकास दल नुकसान के लिए सभी को क्षतिपूर्ति करने के लिए खजाना खोलने के लिए एक समाधान के साथ आया था। हालांकि, अल्फा के साथ, बाजार जो अपने टोकन को ऋण के रूप में स्वीकार करता है, वह बहुत छोटा है, इसलिए यदि अल्फा क्षतिपूर्ति करना चाहता है, तो उसे उधारदाताओं के साथ एक अलग समझौता करना होगा।

उपरोक्त हमलों से, परियोजनाओं और उपयोगकर्ताओं दोनों की सुरक्षा और सुरक्षा सुनिश्चित करने के लिए कई समाधानों की आवश्यकता होगी। कुछ सुझावों में शामिल हैं:

1. स्वचालित परीक्षण करें और लगातार तुलना करें और एल्गोरिथम की शुद्धता सुनिश्चित करें।
2. जितना संभव हो उतना कम नुकसान को कम करने के लिए स्केल टीवीएल धीरे-धीरे प्रत्येक चरण में सुरक्षा सुनिश्चित करता है।

उपसंहार

जोखिम और प्रभावशीलता के बीच की रेखा का अधिक से अधिक परीक्षण किया जाएगा, और प्रत्येक हमला डेफी के परिपक्व होने के लिए एक सबक है।

स्वयं निवेशकों के लिए, किसी परियोजना में प्रवेश करने से पहले, उचित पूंजी आवंटन और प्रणाली को समझने के लिए समय निकालना एक पूर्वापेक्षा है। इसके अलावा, हमले के बाद परियोजना के निर्णय और कार्रवाई को देखना भी यह देखने के लिए एक अच्छा परीक्षण है कि क्या विकास टीम वास्तव में अपने उत्पाद के बारे में भावुक है।

"रिटर्न जोखिम के साथ-साथ चलते हैं"

संदर्भ लिंक: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f