Decrittografia degli attacchi ad Alpha e Cream - Quando la collaborazione DeFi viene messa alla prova

Decodifica degli attacchi su Alpha e Cream - Quando la cooperazione DeFi viene messa alla prova. L'articolo racconta il recente hack e le lezioni per lo spazio DeFi.

In 10 minuti, il prezzo di CREAM a volte è crollato di oltre il 30%, anche il prezzo di ALPHA è diminuito drasticamente!

Il recente attacco Cream è considerato uno degli attacchi più complessi nella storia della DeFi. Questa è una bella storia sul mettere alla prova la cooperazione nella DeFi, una lezione a cui qualsiasi progetto o investitore dovrebbe prestare attenzione.

Il seguente articolo è citato da molte fonti per inviarti lo stato di avanzamento dell'attacco, analizzare quell'evento e le lezioni apprese per sviluppare lo spazio DeFi per diventare sempre migliore. 

Iniziamo!

Sviluppi

Di seguito il contratto dell'hack: https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

L'IronBank di Cream è stato violato, per un totale di 37,5 milioni di dollari di danni. 

Sulla base delle informazioni sulla transazione, l'attaccante utilizza Alpha Homora e prende in prestito sUSD da IronBank, ogni volta il doppio.

Nota : Iron Bank è un nuovo prodotto di Cream, attraverso i progetti autorizzati di Iron Bank sarà in grado di prendere in prestito attività da Cream SENZA garanzie. 

I dettagli possono essere trovati qui.

L'attaccante effettua prima 2 transazioni e invia risorse a IronBank per ricevere cySUSD. Successivamente, utilizzando flashloan da Aave v2, ha proceduto a convertire USDC in sUSD tramite Curve.

Decrittografia degli attacchi ad Alpha e Cream - Quando la collaborazione DeFi viene messa alla prova

L'attaccante invia quindi sUSD a IronBank, consentendogli di continuare a prendere in prestito, prestare e ricevere cySUSD (parte di sUSD viene utilizzata per pagare le commissioni di transazione). Inoltre, 10 milioni di dollari sono stati presi in prestito utilizzando prestiti flash e hanno continuato a essere utilizzati per aumentare l'importo di cySUSD.

Alla fine, l'attaccante possedeva così tanto cySUSD che è stato in grado di prendere in prestito qualsiasi cosa da Ironbank.

Decrittografia degli attacchi ad Alpha e Cream - Quando la collaborazione DeFi viene messa alla prova

A questo punto, l'attaccante prende in prestito:

  • 13.2K WETH
  • 3,6 milioni di dollari statunitensi
  • 5,6 MILIONI DI USD MILIONI
  • 4,2 M DI LUNGHEZZA

Decrittografia degli attacchi ad Alpha e Cream - Quando la collaborazione DeFi viene messa alla prova

Infine lui:

  • Deposita stablecoin su Aave V2.
  • 1k ETH “beneficenza: ritorno a IronBank e Homora.
  • Riciclaggio di denaro (220 ETH) tramite Tornado Cash.
  • E i restanti circa 11.000 ETH si trovano nell'indirizzo del portafoglio dell'attaccante.

Decrittografia degli attacchi ad Alpha e Cream - Quando la collaborazione DeFi viene messa alla prova

Inizia il dramma!!

L'attacco ha causato molti danni a Cream Finance, ma presto il progetto ha twittato che il loro protocollo funzionava correttamente e non era stato violato.

Se Cream non era la vittima, allora chi era quella attaccata? Tutti gli occhi hanno iniziato a concentrarsi su Alpha Finance, ma il progetto ha avuto passaggi di elaborazione rapidi e informazioni completamente aggiornate per gli utenti dopo solo poche ore.

Una panoramica dei rapporti sugli incidenti di Alpha

  1. L'attaccante prende in prestito ETH da Ironbank di Cream utilizzando sUSD come garanzia.
  2. L'attaccante ripaga il prestito sUSD. Tuttavia, a causa di un bug nel prodotto Alpha, un utente malintenzionato può guadagnare una piccola somma di denaro attraverso questo.
  3. Ripeti finché quel numero non incrocia 7 numeri.
  4. In quel momento Alpha Homora aveva un enorme debito con IronBank, ma ovviamente il debitore stava già scappando.
  5. Ha riciclato denaro tramite Tornado Cash e ha restituito 1.000 ETH ad Alpha e Cream.

Nota : questo non fa sì che gli istituti di credito di Cream perdano direttamente i loro beni, ma contraggono un enorme debito da Alpha Homora. 

Chi è la vittima?

Cream e Alpha, quindi chi è la vittima?

Le parti coinvolte nell'attacco includono:

  • Cream v2 : accettato l'integrazione intensiva a livello di contratto con Alpha Homora v2.
  • Alpha Homora v2 : concordare a livello di contratto di prendere in prestito attività da Cream v2 senza garanzie.
  • Prestatore su Cream : Quando la comunità accetta un accordo su un'intensa cooperazione tra Cream e Alpha, significa che il prestatore non presta solo agli utenti di Cream ma anche agli utenti di Alpha Homora v2.
  • Mutuatario su Alpha : simile al mutuatario su Alpha non solo prende in prestito da Alpha ma anche da Cream v2. L'attaccante appartiene a questo gruppo ed è classificato come mutuatario con cattive intenzioni.

Decrittografia degli attacchi ad Alpha e Cream - Quando la collaborazione DeFi viene messa alla prova

Proprio adesso:

  • A livello fondamentale : Alpha Homora deve Cream v2.
  • Guardando più in profondità : i beni degli istituti di credito su Cream vengono presi in prestito dal partito con cattive intenzioni.

Con l'analisi di cui sopra, Alpha dovrebbe essere la parte che risarcisce il danno di Cream. Tuttavia, dal punto di vista tecnico, Cream è la parte responsabile della protezione dei beni del prestatore. Quindi Alpha può rinunciare completamente alla responsabilità e annullare la collaborazione, lasciando quel debito inesigibile agli utenti di Cream.

Ovviamente con la reputazione e il successo del presente, la capacità di Alpha di farlo è molto bassa. Ma l'attacco ha evidenziato un problema esistente con la collaborazione tra i progetti in DeFi.

Conseguenza

La prossima cosa interessante è che anche se l'attacco è stato effettuato tramite il contratto di Alpha, è stata Cream a soffrire di più. L'AUM (asset under management) di Cream è sceso da 700 milioni a 200 milioni in appena 1 giorno e il prezzo del token è sceso del 30%. Al contrario, l'AUM di Alpha è diminuito solo del 10% e la vendita di token è stata insignificante.

La causa di questo paradosso può essere dovuta a:

  1. Cream è stata la prima a venire alla luce, quindi la vendita di panico ha avuto un forte impatto su di loro.
  2. Gli istituti di credito di Cream si sono resi conto di essere quelli che hanno sofferto di più (a parte il calo dei prezzi dei token, gli utenti Alpha non hanno sofferto quasi nulla).

Prestare a un mercato con leva x9 era troppo rischioso anche prima dell'attacco e gli istituti di credito di Cream ne stanno diventando sempre più consapevoli.

Lezione

Questi attacchi hanno dimostrato che la DeFi è ancora molto giovane al momento e il rischio è grande per gli utenti. L'audit richiede molto tempo e denaro e anche dopo che l'audit è terminato, se il prodotto non corrisponde al gusto, tutto fallirà. 

Alpha è stato verificato due volte ed è stato comunque violato, l'attacco è stato così complesso che gli sviluppatori e i ricercatori hanno impiegato ore per capire la natura del problema. 

La scorsa settimana yDAI (1 Yearn's vault) è stato violato, il team di sviluppo ha escogitato una soluzione per aprire il tesoro per risarcire tutti i danni. Tuttavia, con Alpha, il mercato che accetta i loro token come debito è troppo piccolo, quindi se Alpha vuole compensare, dovrà stipulare un accordo separato con i prestatori.

Dagli attacchi di cui sopra, saranno necessarie molte soluzioni per garantire la sicurezza sia dei progetti che degli utenti. Alcuni suggerimenti includono:

  1. Esegui test automatizzati e confronta e assicurati continuamente la correttezza dell'algoritmo.
  2. Scale TVL garantisce lentamente la sicurezza in ogni fase per ridurre al minimo i danni possibile.

Epilogo

Il confine tra rischio ed efficacia sarà testato sempre di più e ogni attacco è una lezione per la maturazione della DeFi.

Per gli investitori stessi, prima di entrare in un progetto, un'adeguata allocazione del capitale e prendersi del tempo per comprendere il sistema è un prerequisito. Inoltre, assistere alla decisione e all'azione del progetto dopo essere stato attaccato è anche un buon test per vedere se il team di sviluppo è davvero appassionato del proprio prodotto.

“Il rendimento va di pari passo con il rischio”

Link di riferimento: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f



Mina collabora con Polygon

Mina collabora con Polygon

Mina e Polygon lavoreranno insieme per sviluppare prodotti che aumentino la scalabilità, la verifica avanzata e la privacy.

Lupe Fiasco - Lartista vincitore del Grammy Award venderà NFT su Origin

Lupe Fiasco - Lartista vincitore del Grammy Award venderà NFT su Origin

Siamo lieti di annunciare il primo lancio NFT di Lupe Fiasco sull'ammiraglia NFT Launchpad di Origin.

Cream V2 e Iron Bank - Una nuova brezza nel prestito DeFi (Parte 2)

Cream V2 e Iron Bank - Una nuova brezza nel prestito DeFi (Parte 2)

Articolo su Iron Bank, il prodotto chiave di Cream V2. Aiutaci a portare i prestiti in DeFi al livello successivo.

Aavegotchi annuncia Litepaper per Game World Gotchiverse

Aavegotchi annuncia Litepaper per Game World Gotchiverse

Aavegotchi, il progetto per creare personaggi NFT scommessi con gettoni redditizi su Aave, ha annunciato un litepaper per "Gotchiverse".

Lancio di BentoBox e piani futuri di SushiSwap

Lancio di BentoBox e piani futuri di SushiSwap

L'articolo fornisce informazioni sull'ultimo prodotto di SushiSwap e sui piani futuri del progetto.

Ancient8 - Gaming Guild investe milioni di dollari per il primo giocatore in Vietnam che recluta per sempre

Ancient8 - Gaming Guild investe milioni di dollari per il primo giocatore in Vietnam che recluta per sempre

Ancient8 sta reclutando e cercando candidati per diventare abili Generali e Soldati Lac nel nuovo Crypto World.

DHedge - Realizzazione di una gestione patrimoniale decentralizzata

DHedge - Realizzazione di una gestione patrimoniale decentralizzata

L'articolo ti fornirà una panoramica di dHedge, dei problemi che il progetto sta risolvendo e degli obiettivi che il progetto si propone di raggiungere.

La più grande ambizione del siero (SRM)

La più grande ambizione del siero (SRM)

Serum può diventare un ecosistema da trilioni di dollari con miliardi di utenti? Restate sintonizzati per il post di oggi.

Mina Foundation ha assegnato un contratto da 1,2 milioni di dollari a =nil; Fondazione

Mina Foundation ha assegnato un contratto da 1,2 milioni di dollari a =nil; Fondazione

Mina Foundation assegnerà un contratto del valore di $ 1,2 milioni = zero; Fondazione per verificare Pickles SNARK Mina sulla macchina virtuale di Ethereum.

DODOnomics v2: massimizza i profitti per i detentori di DODO

DODOnomics v2: massimizza i profitti per i detentori di DODO

Nel prossimo futuro, Dodo adeguerà il modello tokenomics per l'aggiornamento alla nuova versione v2 per ottimizzare i profitti per gli LP.

Origin annuncia lacquisizione di OGN per 1,3 milioni di dollari dalla metà delle entrate di NFT

Origin annuncia lacquisizione di OGN per 1,3 milioni di dollari dalla metà delle entrate di NFT

Origin utilizza metà delle entrate di NFT fino ad oggi, equivalenti a 1.304.284 USD per riacquistare OGN sul mercato durante la settimana.

Mina collabora con Polygon

Mina collabora con Polygon

Mina e Polygon lavoreranno insieme per sviluppare prodotti che aumentino la scalabilità, la verifica avanzata e la privacy.

Analisi del modello operativo Uniswap V2 (UNI) - La fondazione di AMM

Analisi del modello operativo Uniswap V2 (UNI) - La fondazione di AMM

Analizza e valuta il modello operativo di Uniswap V2, il modello più semplice per qualsiasi AMM.

Istruzioni per lutilizzo dello scambio Remitano: Compra e vendi Bitcoin sullo scambio Remitano

Istruzioni per lutilizzo dello scambio Remitano: Compra e vendi Bitcoin sullo scambio Remitano

Lo scambio Remitano è il primo scambio che consente l'acquisto e la vendita di criptovalute in VND. Istruzioni per registrarsi a Remitano e acquistare e vendere Bitcoin in dettaglio proprio qui!

Le istruzioni per partecipare al testnet Tenderize su Solana sono dettagliate e di facile comprensione

Le istruzioni per partecipare al testnet Tenderize su Solana sono dettagliate e di facile comprensione

L'articolo ti fornirà le istruzioni più complete e dettagliate per l'utilizzo del testnet di Tenderize.

Una guida completa e dettagliata allutilizzo di Mango Markets

Una guida completa e dettagliata allutilizzo di Mango Markets

L'articolo ti fornirà la guida più completa e dettagliata all'utilizzo di Mango Markets per sperimentare tutte le funzionalità di questo nuovo progetto su Solana.

UNLOCKED Series #1 - Migliora la tua sicurezza su Coin98 Super App

UNLOCKED Series #1 - Migliora la tua sicurezza su Coin98 Super App

In questo primo episodio della serie UNLOCKED, aggiungeremo un ulteriore livello di sicurezza al tuo portafoglio utilizzando le Impostazioni di sicurezza.

Come coltivare Crypto e unirti alla DeFi in sicurezza?

Come coltivare Crypto e unirti alla DeFi in sicurezza?

L'agricoltura è una buona opportunità per gli utenti di guadagnare facilmente criptovalute in DeFi. Ma qual è il modo giusto per coltivare criptovalute e unirti alla DeFi in sicurezza?

Valutazione DeFi: la DeFi può essere valutata in base al flusso di cassa?

Valutazione DeFi: la DeFi può essere valutata in base al flusso di cassa?

L'articolo traduce l'opinione dell'autore @jdorman81 sulla questione della valutazione in Defi, insieme ad alcune opinioni personali del traduttore.

Istruzioni per lutilizzo del piano Saddle Finance dalla A alla Z

Istruzioni per lutilizzo del piano Saddle Finance dalla A alla Z

Saddle Finance è un AMM che consente il trading e fornisce liquidità per tBTC, WBTC, sBTC e renBTC. Manuale d'uso per pavimento a sella.

Cosa preparare quando Bitcoin (BTC) supererà il picco di 500 milioni di VND/BTC e la stagione 2017 di Pump Coin tornerà con forza?

Cosa preparare quando Bitcoin (BTC) supererà il picco di 500 milioni di VND/BTC e la stagione 2017 di Pump Coin tornerà con forza?

Perché dovresti iniziare a tenere d'occhio Bitcoin (BTC) ora? E cosa preparare quando Bitcoin (BTC) supera il picco di 500 milioni di VND/BTC?

Sign up and Earn ⋙
Sign up and Earn ⋙