Decrittografia degli attacchi ad Alpha e Cream - Quando la collaborazione DeFi viene messa alla prova

Decodifica degli attacchi su Alpha e Cream - Quando la cooperazione DeFi viene messa alla prova. L'articolo racconta il recente hack e le lezioni per lo spazio DeFi.

In 10 minuti, il prezzo di CREAM a volte è crollato di oltre il 30%, anche il prezzo di ALPHA è diminuito drasticamente!

Il recente attacco Cream è considerato uno degli attacchi più complessi nella storia della DeFi. Questa è una bella storia sul mettere alla prova la cooperazione nella DeFi, una lezione a cui qualsiasi progetto o investitore dovrebbe prestare attenzione.

Il seguente articolo è citato da molte fonti per inviarti lo stato di avanzamento dell'attacco, analizzare quell'evento e le lezioni apprese per sviluppare lo spazio DeFi per diventare sempre migliore. 

Iniziamo!

Sviluppi

Di seguito il contratto dell'hack: https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

L'IronBank di Cream è stato violato, per un totale di 37,5 milioni di dollari di danni. 

Sulla base delle informazioni sulla transazione, l'attaccante utilizza Alpha Homora e prende in prestito sUSD da IronBank, ogni volta il doppio.

Nota : Iron Bank è un nuovo prodotto di Cream, attraverso i progetti autorizzati di Iron Bank sarà in grado di prendere in prestito attività da Cream SENZA garanzie. 

I dettagli possono essere trovati qui.

L'attaccante effettua prima 2 transazioni e invia risorse a IronBank per ricevere cySUSD. Successivamente, utilizzando flashloan da Aave v2, ha proceduto a convertire USDC in sUSD tramite Curve.

L'attaccante invia quindi sUSD a IronBank, consentendogli di continuare a prendere in prestito, prestare e ricevere cySUSD (parte di sUSD viene utilizzata per pagare le commissioni di transazione). Inoltre, 10 milioni di dollari sono stati presi in prestito utilizzando prestiti flash e hanno continuato a essere utilizzati per aumentare l'importo di cySUSD.

Alla fine, l'attaccante possedeva così tanto cySUSD che è stato in grado di prendere in prestito qualsiasi cosa da Ironbank.

A questo punto, l'attaccante prende in prestito:

• 13.2K WETH
• 3,6 milioni di dollari statunitensi
• 5,6 MILIONI DI USD MILIONI
• 4,2 M DI LUNGHEZZA

Infine lui:

• Deposita stablecoin su Aave V2.
• 1k ETH “beneficenza: ritorno a IronBank e Homora.
• Riciclaggio di denaro (220 ETH) tramite Tornado Cash.
• E i restanti circa 11.000 ETH si trovano nell'indirizzo del portafoglio dell'attaccante.

Inizia il dramma!!

L'attacco ha causato molti danni a Cream Finance, ma presto il progetto ha twittato che il loro protocollo funzionava correttamente e non era stato violato.

Se Cream non era la vittima, allora chi era quella attaccata? Tutti gli occhi hanno iniziato a concentrarsi su Alpha Finance, ma il progetto ha avuto passaggi di elaborazione rapidi e informazioni completamente aggiornate per gli utenti dopo solo poche ore.

Una panoramica dei rapporti sugli incidenti di Alpha

1. L'attaccante prende in prestito ETH da Ironbank di Cream utilizzando sUSD come garanzia.
2. L'attaccante ripaga il prestito sUSD. Tuttavia, a causa di un bug nel prodotto Alpha, un utente malintenzionato può guadagnare una piccola somma di denaro attraverso questo.
3. Ripeti finché quel numero non incrocia 7 numeri.
4. In quel momento Alpha Homora aveva un enorme debito con IronBank, ma ovviamente il debitore stava già scappando.
5. Ha riciclato denaro tramite Tornado Cash e ha restituito 1.000 ETH ad Alpha e Cream.

Nota : questo non fa sì che gli istituti di credito di Cream perdano direttamente i loro beni, ma contraggono un enorme debito da Alpha Homora. 

Chi è la vittima?

Cream e Alpha, quindi chi è la vittima?

Le parti coinvolte nell'attacco includono:

• Cream v2 : accettato l'integrazione intensiva a livello di contratto con Alpha Homora v2.
• Alpha Homora v2 : concordare a livello di contratto di prendere in prestito attività da Cream v2 senza garanzie.
• Prestatore su Cream : Quando la comunità accetta un accordo su un'intensa cooperazione tra Cream e Alpha, significa che il prestatore non presta solo agli utenti di Cream ma anche agli utenti di Alpha Homora v2.
• Mutuatario su Alpha : simile al mutuatario su Alpha non solo prende in prestito da Alpha ma anche da Cream v2. L'attaccante appartiene a questo gruppo ed è classificato come mutuatario con cattive intenzioni.

Proprio adesso:

• A livello fondamentale : Alpha Homora deve Cream v2.
• Guardando più in profondità : i beni degli istituti di credito su Cream vengono presi in prestito dal partito con cattive intenzioni.

Con l'analisi di cui sopra, Alpha dovrebbe essere la parte che risarcisce il danno di Cream. Tuttavia, dal punto di vista tecnico, Cream è la parte responsabile della protezione dei beni del prestatore. Quindi Alpha può rinunciare completamente alla responsabilità e annullare la collaborazione, lasciando quel debito inesigibile agli utenti di Cream.

Ovviamente con la reputazione e il successo del presente, la capacità di Alpha di farlo è molto bassa. Ma l'attacco ha evidenziato un problema esistente con la collaborazione tra i progetti in DeFi.

Conseguenza

La prossima cosa interessante è che anche se l'attacco è stato effettuato tramite il contratto di Alpha, è stata Cream a soffrire di più. L'AUM (asset under management) di Cream è sceso da 700 milioni a 200 milioni in appena 1 giorno e il prezzo del token è sceso del 30%. Al contrario, l'AUM di Alpha è diminuito solo del 10% e la vendita di token è stata insignificante.

La causa di questo paradosso può essere dovuta a:

1. Cream è stata la prima a venire alla luce, quindi la vendita di panico ha avuto un forte impatto su di loro.
2. Gli istituti di credito di Cream si sono resi conto di essere quelli che hanno sofferto di più (a parte il calo dei prezzi dei token, gli utenti Alpha non hanno sofferto quasi nulla).

Prestare a un mercato con leva x9 era troppo rischioso anche prima dell'attacco e gli istituti di credito di Cream ne stanno diventando sempre più consapevoli.

Lezione

Questi attacchi hanno dimostrato che la DeFi è ancora molto giovane al momento e il rischio è grande per gli utenti. L'audit richiede molto tempo e denaro e anche dopo che l'audit è terminato, se il prodotto non corrisponde al gusto, tutto fallirà. 

Alpha è stato verificato due volte ed è stato comunque violato, l'attacco è stato così complesso che gli sviluppatori e i ricercatori hanno impiegato ore per capire la natura del problema. 

La scorsa settimana yDAI (1 Yearn's vault) è stato violato, il team di sviluppo ha escogitato una soluzione per aprire il tesoro per risarcire tutti i danni. Tuttavia, con Alpha, il mercato che accetta i loro token come debito è troppo piccolo, quindi se Alpha vuole compensare, dovrà stipulare un accordo separato con i prestatori.

Dagli attacchi di cui sopra, saranno necessarie molte soluzioni per garantire la sicurezza sia dei progetti che degli utenti. Alcuni suggerimenti includono:

1. Esegui test automatizzati e confronta e assicurati continuamente la correttezza dell'algoritmo.
2. Scale TVL garantisce lentamente la sicurezza in ogni fase per ridurre al minimo i danni possibile.

Epilogo

Il confine tra rischio ed efficacia sarà testato sempre di più e ogni attacco è una lezione per la maturazione della DeFi.

Per gli investitori stessi, prima di entrare in un progetto, un'adeguata allocazione del capitale e prendersi del tempo per comprendere il sistema è un prerequisito. Inoltre, assistere alla decisione e all'azione del progetto dopo essere stato attaccato è anche un buon test per vedere se il team di sviluppo è davvero appassionato del proprio prodotto.

“Il rendimento va di pari passo con il rischio”

Link di riferimento: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f