AlphaとCreamへの攻撃の解読-DeFiコラボレーションが試されるとき

AlphaとCreamへの攻撃のデコード-DeFiの協力が試されたとき。この記事では、DeFiスペースに関する最近のハックとレッスンについて説明しています。

10分でCREAMの価格が30％以上下がることがあり、ALPHAの価格も急激に下がりました！

最近のCream攻撃は、DeFiの歴史の中で最も複雑な攻撃の1つと見なされています。これは、DeFiでの協力をテストすることについての良い話であり、プロジェクトや投資家が注意すべき教訓です。

次の記事は、攻撃の進行状況を送信し、そのイベントと、DeFiスペースをより良くするために開発するために学んだ教訓を分析するために、多くのソースから参照されています。 

始めましょう！

開発

以下はハックの契約です：https ：//etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

クリームのIronBankがハッキングされ、合計で3,750万ドルの被害が発生しました。 

攻撃者はトランザクション情報に基づいてAlphaHomoraを使用し、IronBankから毎回2倍のsUSDを借ります。

注：Iron BankはCreamの新製品であり、Iron Bankのホワイトリストに登録されたプロジェクトを通じて、担保なしでCreamから資産を借りることができます。 

詳細はこちらをご覧ください。

攻撃者は最初に2つのトランザクションを実行し、cySUSDを受信するためにアセットをIronBankに送信します。次に、Aave v2のフラッシュローンを使用して、Curveを介してUSDCをsUSDに変換しました。

次に、攻撃者はsUSDをIronBankに送信し、cySUSDの借り入れ、貸し出し、受け取りを継続できるようにします（sUSDの一部は取引手数料の支払いに使用されます）。さらに、フラッシュローンを使用して1,000万米ドルが借り入れられ、cySUSDの金額を増やすために引き続き使用されました。

結局、攻撃者はcySUSDを大量に所有していたため、Ironbankから何でも借りることができました。

この時点で、攻撃者は以下を借用します。

• 13.2K WETH
• 360万米ドル
• 560万米ドル
• 4.2Mロング

最後に彼：

• ステーブルコインをAaveV2にデポジットします。
• 1k ETH「チャリティー：IronBankとHomoraに戻る。
• トルネードキャッシュによるマネーロンダリング（220 ETH）。
• そして残りの約11kETHは攻撃者のウォレットアドレスにあります。

ドラマが始まります!!

この攻撃はCreamFinanceに多大な損害を与えましたが、プロジェクトはすぐに、プロトコルが適切に機能しており、ハッキングされていないとツイートしました。

クリームが犠牲者ではなかった場合、攻撃されたのは誰でしたか？すべての目がAlphaFinanceに焦点を合わせ始めましたが、プロジェクトはわずか数時間で迅速な処理ステップとユーザー向けの完全に更新された情報を備えていました。

Alphaからのインシデントレポートの概要

1. 攻撃者は、担保としてsUSDを使用してCreamのIronbankからETHを借ります。
2. 攻撃者はsUSDローンを返済します。ただし、Alphaの製品のバグが原因で、攻撃者はこれを通じて少額のお金を稼ぐことができます。
3. その数が7つの数と交差するまで繰り返します。
4. この時、Alpha HomoraはIronBankと巨額の債務を負っていましたが、もちろん債務者はすでに逃げていました。
5. 彼はトルネードキャッシュを通じてマネーロンダリングを行い、アルファとクリームに1,000ETHを返しました。

注：これにより、Creamの貸し手が資産を直接失うことはなく、代わりにAlphaHomoraから巨額の債務が発生します。 

犠牲者は誰ですか？

クリームとアルファ、それで犠牲者は誰ですか？

攻撃に関与した当事者は次のとおりです。

• Cream v2：AlphaHomorav2との契約レベルの集中​​的な統合に合意しました。
• Alpha Homora v2：契約レベルでCreamv2から無担保で資産を借りることに同意します。
• クリームの貸し手：コミュニティがCreamとAlphaの間の集中的な協力に関する合意に同意する場合、それは貸し手がCreamユーザーだけでなくAlphaHomorav2ユーザーにも貸し出すことを意味します。
• Alphaの借り手： Alphaの借り手と同様に、Alphaだけでなく、Creamv2からも借ります。攻撃者はこのグループに属し、悪意のある借り手として分類されます。

たった今：

• 基本的なレベルで：AlphaHomoraはCreamv2を借りています。
• 深く見る：クリームの貸し手からの資産は、悪意を持って党によって借りられています。

上記の分析では、AlphaがCreamのダメージを補うための当事者になるはずです。ただし、技術的な観点からは、Creamは貸し手の資産を保護する責任を負う当事者です。したがって、Alphaは責任を完全に放棄し、協力をキャンセルして、Creamのユーザーにその不良債権を残すことができます。

もちろん、現在の評判と成功により、これを行うAlphaの能力は非常に低くなっています。しかし、この攻撃は、DeFiのプロジェクト間のコラボレーションに関する既存の問題を浮き彫りにしました。

結果

次の興味深い点は、攻撃がAlphaの契約によって実行されたにもかかわらず、さらに苦しんだのはCreamであったことです。クリームのAUM（運用資産）はわずか1日で7億から2億に下がり、トークンの価格は30％下がりました。対照的に、AlphaのAUMは10％しか減少せず、トークンの売却は重要ではありませんでした。

このパラドックスの原因は次のとおりです。

1. クリームが最初に明るみに出たので、パニック売りは彼らに強い影響を与えました。
2. クリームの貸し手は、彼らが最も苦しんでいるものであることに気づきました（トークン価格の下落を除いて、Alphaユーザーはほとんど何も苦しみませんでした）。

x9レバレッジの市場への貸付は、攻撃前からリスクが高すぎたため、Creamの貸し手はこれにますます気づき始めています。

レッスン

これらの攻撃は、DeFiが現在も非常に若く、ユーザーにとってリスクが大きいことを証明しています。監査は非常に時間と費用がかかり、監査が行われた後でも、製品が好みに合わない場合、すべてが失敗します。 

Alphaは2回監査しましたが、それでもハッキングされました。攻撃は非常に複雑で、開発者と研究者が問題の性質を理解するのに何時間もかかりました。 

先週、yDAI（1 Yearn's vault）がハッキングされ、開発チームは、すべての人に損害を補償するために財務を開くためのソリューションを考え出しました。ただし、Alphaの場合、トークンを債務として受け入れる市場は小さすぎるため、Alphaが補償したい場合は、貸し手と別途契約を結ぶ必要があります。

上記の攻撃から、プロジェクトとユーザーの両方のセキュリティと安全性を確保するために多くのソリューションが必要になります。いくつかの提案が含まれます：

1. 自動テストを実行し、アルゴリズムの正確性を継続的に比較して確認します。
2. スケールTVLは、各段階でゆっくりと安全を確保し、損傷を可能な限り最小限に抑えます。

エピローグ

リスクと有効性の境界線はますますテストされ、各攻撃はDeFiが成熟するための教訓です。

投資家自身にとって、プロジェクトに参加する前に、適切な資本配分とシステムの理解に時間をかけることが前提条件です。さらに、攻撃を受けた後のプロジェクトの決定とアクションを目撃することも、開発チームが製品に本当に情熱を持っているかどうかを確認するための良いテストです。

「返品はリスクと密接に関連しています」

参照リンク：https ：//defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f