Serangan Dekripsi pada Alpha dan Cream - Saat Kolaborasi DeFi Diuji

Serangan Decoding pada Alpha dan Cream - Saat kerjasama DeFi diuji. Artikel tersebut menceritakan peretasan dan pelajaran baru-baru ini untuk ruang DeFi.

Dalam 10 menit, harga CREAM terkadang anjlok lebih dari 30%, harga ALPHA juga turun tajam!

Serangan Cream baru-baru ini dianggap sebagai salah satu serangan paling kompleks dalam sejarah DeFi. Ini adalah cerita bagus tentang menguji kerja sama di DeFi, pelajaran yang harus diperhatikan oleh setiap proyek atau investor.

Artikel berikut direferensikan dari banyak sumber untuk mengirimi Anda kemajuan serangan, menganalisis peristiwa itu, dan pelajaran yang dipetik untuk mengembangkan ruang DeFi menjadi lebih baik dan lebih baik. 

Mari kita mulai!

Perkembangan

Di bawah ini adalah kontrak peretasan: https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

IronBank milik Cream diretas, dengan total kerugian $37,5 juta. 

Berdasarkan informasi transaksi, penyerang menggunakan Alpha Homora dan meminjam sUSD dari IronBank, setiap kali dua kali lipat.

Catatan : Iron Bank adalah produk baru dari Cream, melalui proyek Whitelist Iron Bank akan dapat meminjam aset dari Cream TANPA agunan. 

Detailnya dapat ditemukan di sini.

Penyerang pertama-tama melakukan 2 transaksi dan mengirimkan aset ke IronBank untuk menerima cySUSD. Selanjutnya menggunakan flashloan dari Aave v2, ia melanjutkan untuk mengkonversi USDC ke sUSD melalui Curve.

Penyerang kemudian mengirimkan sUSD ke IronBank, memungkinkannya untuk terus meminjam, meminjamkan, dan menerima cySUSD (sebagian dari sUSD digunakan untuk membayar biaya transaksi). Selain itu, 10 juta USD dipinjam menggunakan pinjaman kilat , dan terus digunakan untuk meningkatkan jumlah cySUSD.

Pada akhirnya, penyerang memiliki begitu banyak cySUSD sehingga dia dapat meminjam apa pun dari Ironbank.

Pada titik ini, penyerang meminjam:

• 13.2K BASAH
• 3,6 juta USDC
• 5,6 juta USDTILLION
• 4.2M PANJANG

Akhirnya dia:

• Setor stablecoin ke Aave V2.
• 1k ETH “amal: Kembali ke IronBank dan Homora.
• Pencucian uang (220 ETH) melalui Tornado Cash.
• Dan sisanya sekitar 11k ETH ada di alamat dompet penyerang.

Drama dimulai!!

Serangan itu menyebabkan banyak kerusakan pada Cream Finance, tetapi segera proyek tersebut men-tweet bahwa protokol mereka berfungsi dengan baik dan belum diretas.

Jika bukan Cream yang menjadi korban, lalu siapa yang diserang? Semua mata mulai fokus pada Alpha Finance, tetapi proyek tersebut memiliki langkah-langkah pemrosesan yang cepat dan informasi yang sepenuhnya diperbarui untuk pengguna hanya dalam beberapa jam.

Ikhtisar laporan insiden dari Alpha

1. Penyerang meminjam ETH dari Cream's Ironbank menggunakan sUSD sebagai jaminan.
2. Penyerang membayar kembali pinjaman sUSD. Namun, karena bug dalam produk Alpha, penyerang dapat memperoleh sedikit uang melalui ini.
3. Ulangi sampai angka tersebut melewati 7 angka.
4. Pada saat ini Alpha Homora memiliki hutang besar dengan IronBank, tetapi tentu saja debiturnya sudah melarikan diri.
5. Dia mencuci uang melalui Tornado Cash dan mengembalikan 1.000 ETH ke Alpha dan Cream.

Catatan : Ini tidak menyebabkan pemberi pinjaman Cream kehilangan aset mereka secara langsung, melainkan mereka menanggung hutang besar dari Alpha Homora. 

Siapa korbannya?

Cream dan Alpha, jadi siapa korbannya?

Pihak-pihak yang terlibat dalam penyerangan tersebut antara lain:

• Cream v2 : Menyetujui integrasi intensif tingkat kontrak dengan Alpha Homora v2.
• Alpha Homora v2 : Setuju pada tingkat kontrak untuk meminjam aset dari Cream v2 tanpa jaminan.
• Lender on Cream : Ketika komunitas menyetujui kesepakatan kerjasama intensif antara Cream dan Alpha, itu berarti pemberi pinjaman tidak hanya meminjamkan kepada pengguna Cream tetapi juga kepada pengguna Alpha Homora v2.
• Peminjam di Alpha : Mirip dengan peminjam di Alpha tidak hanya meminjam dari Alpha tetapi juga dari Cream v2. Penyerang termasuk dalam kelompok ini dan diklasifikasikan sebagai peminjam dengan niat buruk.

Sekarang juga:

• Pada tingkat dasar : Alpha Homora berhutang Cream v2.
• Melihat lebih dalam : Aset dari pemberi pinjaman di Cream dipinjam oleh pihak dengan niat buruk.

Dengan analisa di atas, maka Alpha seharusnya menjadi pihak yang mengkompensasi kerusakan Cream. Namun, dari segi teknis, Cream adalah pihak yang bertanggung jawab untuk mengamankan aset pemberi pinjaman. Jadi Alpha dapat sepenuhnya melepaskan tanggung jawab dan membatalkan kerja sama, meninggalkan hutang buruk itu kepada pengguna Cream.

Tentu dengan reputasi dan kesuksesan masa kini, kemampuan Alpha untuk melakukan hal tersebut sangatlah rendah. Namun serangan itu menyoroti masalah yang ada dengan kolaborasi antar proyek di DeFi.

Konsekuensi

Hal menarik berikutnya adalah meskipun serangan itu dilakukan melalui kontrak Alpha, namun Cream yang lebih menderita. AUM (aset yang dikelola) Cream turun dari 700 juta menjadi 200 juta hanya dalam 1 hari dan harga token turun 30%. Sebaliknya, AUM Alpha hanya turun 10% dan penjualan token tidak signifikan.

Penyebab paradoks ini bisa karena:

1. Krim adalah yang pertama terungkap, jadi penjualan panik memiliki dampak yang kuat pada mereka.
2. Pemberi pinjaman Cream menyadari bahwa merekalah yang paling menderita (selain dari penurunan harga token, pengguna Alpha hampir tidak menderita apa-apa).

Meminjamkan ke pasar dengan leverage x9 terlalu berisiko bahkan sebelum serangan, dan pemberi pinjaman Cream menjadi semakin sadar akan hal ini.

Pelajaran

Serangan-serangan ini telah membuktikan bahwa DeFi masih sangat muda saat ini dan risikonya besar bagi pengguna. Audit sangat memakan waktu dan mahal dan bahkan setelah audit selesai, jika produk tidak sesuai dengan selera, semuanya akan gagal. 

Alpha diaudit dua kali dan masih diretas, serangannya sangat kompleks sehingga butuh waktu berjam-jam bagi pengembang dan peneliti untuk memahami sifat masalahnya. 

Minggu lalu yDAI (1 Yearn's vault) diretas, tim pengembangan datang dengan solusi untuk membuka perbendaharaan untuk mengkompensasi semua orang atas kerusakan. Namun, dengan Alpha, pasar yang menerima token mereka sebagai hutang terlalu kecil, jadi jika Alpha ingin memberikan kompensasi, itu harus membuat perjanjian terpisah dengan pemberi pinjaman.

Dari serangan-serangan di atas, akan dibutuhkan banyak solusi untuk menjamin keamanan dan keselamatan baik proyek maupun pengguna. Beberapa saran meliputi:

1. Lakukan tes otomatis dan terus bandingkan dan pastikan kebenaran algoritme.
2. Skala TVL perlahan memastikan keamanan di setiap tahap untuk meminimalkan kerusakan serendah mungkin.

Epilog

Garis antara risiko dan efektivitas akan semakin diuji, dan setiap serangan adalah pelajaran bagi DeFi untuk menjadi dewasa.

Bagi investor sendiri, sebelum terjun ke proyek, alokasi modal yang tepat dan meluangkan waktu untuk memahami sistem merupakan prasyarat. Selain itu, menyaksikan keputusan dan tindakan proyek setelah diserang juga merupakan ujian yang baik untuk melihat apakah tim pengembang benar-benar menyukai produk mereka.

“Pengembalian berjalan seiring dengan risiko”

Tautan referensi: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f