Alpha와 Cream에 대한 암호 해독 공격 - DeFi 협업이 테스트될 때

Alpha and Cream에 대한 디코딩 공격 - DeFi 협력이 테스트될 때. 이 기사는 DeFi 공간에 대한 최근 해킹 및 교훈을 자세히 설명합니다.

10분 만에 CREAM 가격이 30% 이상 폭락하기도 하고, ALPHA 가격도 폭락!

최근의 크림 공격은 DeFi 역사상 가장 복잡한 공격 중 하나로 간주됩니다. 이것은 DeFi에서의 협력을 테스트하는 것에 대한 좋은 이야기이며, 모든 프로젝트 또는 투자자가 주의를 기울여야 하는 교훈입니다.

다음 기사는 공격의 진행 상황을 전송하고 해당 이벤트를 분석하고 DeFi 공간을 점점 더 좋아지도록 개발하기 위해 배운 교훈을 보내기 위해 많은 출처에서 참조됩니다. 

시작하자!

개발

다음은 해킹 계약입니다. https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

Cream의 IronBank가 해킹되어 총 3,750만 달러의 피해를 입었습니다. 

거래 정보를 기반으로 공격자는 Alpha Homora를 사용하여 IronBank에서 sUSD를 매번 2배씩 차입합니다.

참고 : Iron Bank는 Iron Bank 화이트리스트 프로젝트를 통해 Cream의 새로운 제품으로 담보 없이 Cream에서 자산을 빌릴 수 있습니다. 

자세한 내용은 여기에서 확인할 수 있습니다.

공격자는 먼저 2번의 거래를 하고 cySUSD를 받기 위해 IronBank에 자산을 보냅니다. 다음으로 Aave v2의 flashloan을 사용하여 Curve를 통해 USDC를 sUSD로 전환했습니다.

그런 다음 공격자는 sUSD를 IronBank로 보내어 cySUSD를 계속 빌리고, 빌려주고, 받을 수 있습니다(sUSD의 일부는 거래 수수료를 지불하는 데 사용됨). 또한 플래시론 을 통해 1000만 달러를 차입 했으며, 지속적으로 cySUSD 금액을 늘리는 데 사용했습니다.

결국 공격자는 너무 많은 cySUSD를 소유하여 Ironbank에서 무엇이든 빌릴 수 있었습니다.

이 시점에서 공격자는 다음을 빌립니다.

• 13.2K WETH
• 360만 USDC
• 560만 달러
• 420만 롱

마지막으로 그는:

• Aave V2에 스테이블코인을 입금하세요.
• 1k ETH “자선: IronBank와 Homora로 돌아가십시오.
• Tornado Cash를 통한 자금 세탁(220 ETH).
• 그리고 나머지 약 11k ETH는 공격자의 지갑 주소에 있습니다.

드라마 시작!!

공격은 Cream Finance에 많은 피해를 입혔지만 곧 프로젝트는 프로토콜이 제대로 작동하고 해킹되지 않았다고 트윗했습니다.

크림이 피해자가 아니었다면 공격을 받은 사람은 누구였을까? 모든 시선이 Alpha Finance에 집중하기 시작했지만 프로젝트는 빠른 처리 단계와 단 몇 시간 만에 사용자를 위해 완전히 업데이트된 정보를 제공했습니다.

Alpha의 사건 보고서 개요

1. 공격자는 sUSD를 담보로 크림의 Ironbank에서 ETH를 차입합니다.
2. 공격자는 sUSD 대출을 상환합니다. 그러나 Alpha 제품의 버그로 인해 공격자는 이를 통해 소액의 돈을 벌 수 있습니다.
3. 그 숫자가 7개의 숫자를 넘을 때까지 반복합니다.
4. 이때 Alpha Homora는 IronBank에 막대한 빚을 지고 있었지만 당연히 채무자는 이미 도망치고 있었습니다.
5. 그는 Tornado Cash를 통해 돈을 세탁하고 Alpha and Cream에 1,000 ETH를 돌려주었습니다.

참고 : 이로 인해 Cream의 대출 기관은 자산을 직접 잃게 되는 것이 아니라 Alpha Homora로부터 막대한 부채를 지게 됩니다. 

피해자는 누구입니까?

크림과 알파, 그럼 피해자는?

공격에 관련된 당사자는 다음과 같습니다.

• 크림 v2 : Alpha Homora v2와의 계약 수준 집중 통합에 동의했습니다.
• Alpha Homora v2 : 담보 없이 Cream v2에서 자산을 빌릴 수 있도록 계약 수준에서 동의합니다.
• Lender on Cream : 커뮤니티가 Cream과 Alpha 간의 집중적인 협력에 대한 합의에 동의하는 경우, 이는 대출 기관이 Cream 사용자뿐만 아니라 Alpha Homora v2 사용자에게도 대출한다는 것을 의미합니다.
• Alpha의 차용자 : Alpha의 차용자와 유사하며 Alpha뿐만 아니라 Cream v2에서도 차용합니다. 공격자는 이 그룹에 속하며 악의를 가진 차용인으로 분류됩니다.

지금:

• 근본적인 수준에서 : Alpha Homora는 Cream v2를 빚지고 있습니다.
• 자세히 보기 : Cream의 대부업체로부터 자산을 나쁜 의도로 당사자가 차용하고 있습니다.

위의 분석으로 알바는 크림의 피해를 보상할 당사자가 되어야 한다. 그러나 기술적인 측면에서 크림은 대출자의 자산을 보호할 책임이 있는 당사자입니다. 따라서 Alpha는 책임을 완전히 포기하고 협력을 취소할 수 있으며 그 나쁜 빚은 Cream 사용자에게 남게 됩니다.

물론 현재의 명성과 성공에 비해 알파의 능력은 매우 낮습니다. 그러나 이 공격은 DeFi의 프로젝트 간 협업과 관련된 기존 문제를 강조했습니다.

결과

다음으로 흥미로운 점은 알파의 계약을 통해 공격을 감행했지만 더 큰 피해를 입은 쪽은 크림이었다는 점이다. 크림의 AUM(관리 자산)은 단 하루 만에 7억에서 2억으로 떨어졌고 토큰 가격은 30% 하락했습니다. 이에 비해 알파의 운용자산은 10% 감소에 그쳤고 토큰 세일도 미미했다.

이 역설의 원인은 다음과 같습니다.

1. 크림이 가장 먼저 빛을 발했기 때문에 공황 판매가 그들에게 큰 영향을 미쳤습니다.
2. Cream의 대출 기관은 그들이 가장 큰 피해를 입었다는 것을 깨달았습니다(토큰 가격 하락을 제외하고 Alpha 사용자는 거의 피해를 입지 않았습니다).

x9 레버리지로 시장에 대출하는 것은 공격 이전에도 너무 위험했으며, Cream의 대출 기관은 이를 점점 더 인식하고 있습니다.

수업

이러한 공격은 DeFi가 현재 매우 젊고 사용자에게 위험이 크다는 것을 입증했습니다. 심사는 시간이 많이 걸리고 비용이 많이 들고 심사를 마친 후에도 제품이 취향에 맞지 않으면 모든 것이 실패합니다. 

Alpha는 두 번 감사했지만 여전히 해킹을 당했습니다. 공격이 너무 복잡하여 개발자와 연구원이 문제의 본질을 이해하는 데 몇 시간이 걸렸습니다. 

지난주 yDAI(1 Yearn's vault)가 해킹당했고, 개발팀은 모든 사람에게 피해를 보상하기 위해 금고를 여는 솔루션을 제시했습니다. 하지만 알파의 경우 토큰을 부채로 받아들이는 시장이 너무 작아 알파가 보상을 하려면 대출기관과 별도의 약정을 해야 한다.

위의 공격으로부터 프로젝트와 사용자 모두의 보안과 안전을 보장하기 위해 많은 솔루션이 필요할 것입니다. 몇 가지 제안 사항은 다음과 같습니다.

1. 자동화된 테스트를 수행하고 알고리즘의 정확성을 지속적으로 비교하고 보장합니다.
2. Scale TVL은 천천히 각 단계에서 안전을 보장하여 손상을 최소화합니다.

발문

위험과 효율성 사이의 경계는 점점 더 테스트될 것이며, 각 공격은 DeFi가 성숙하기 위한 교훈입니다.

투자자 자신에게는 프로젝트에 에이프인하기 전에 적절한 자본 배분과 시스템을 이해하는 데 시간이 걸리는 것이 전제 조건입니다. 또한 공격을 받은 후 프로젝트의 결정과 행동을 지켜보는 것도 개발 팀이 자신의 제품에 진정으로 열정을 갖고 있는지 확인하는 좋은 테스트입니다.

"수익은 위험과 함께 간다"

참조 링크: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f