Menyahsulit Serangan pada Alpha dan Krim - Apabila Kerjasama DeFi Diuji

Serangan Penyahkodan pada Alfa dan Krim - Apabila kerjasama DeFi diuji. Artikel itu menceritakan penggodaman dan pelajaran baru-baru ini untuk ruang DeFi.

Dalam 10 minit, harga KRIM kadang-kadang merudum lebih 30%, harga ALPHA pun turun mendadak!

Serangan Krim baru-baru ini dianggap sebagai salah satu serangan paling kompleks dalam sejarah DeFi. Ini adalah cerita yang bagus tentang menguji kerjasama dalam DeFi, pengajaran yang perlu diambil perhatian oleh mana-mana projek atau pelabur.

Artikel berikut dirujuk daripada banyak sumber untuk menghantar kepada anda kemajuan serangan, menganalisis peristiwa itu dan pengajaran yang dipelajari untuk membangunkan ruang DeFi menjadi lebih baik dan lebih baik. 

Mari kita mulakan!

Perkembangan

Di bawah ialah kontrak penggodaman: https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

IronBank Cream telah digodam, berjumlah $37.5 juta dalam kerosakan. 

Berdasarkan maklumat transaksi, penyerang menggunakan Alpha Homora dan meminjam sUSD daripada IronBank, setiap kali dua kali lebih banyak.

Nota : Iron Bank ialah produk baharu Krim, melalui projek tersenarai putih Iron Bank akan dapat meminjam aset daripada Krim TANPA cagaran. 

Butiran boleh didapati di sini.

Penyerang mula-mula membuat 2 transaksi dan menghantar aset kepada IronBank untuk menerima cySUSD. Seterusnya menggunakan pinjaman kilat daripada Aave v2, beliau terus menukar USDC kepada sUSD melalui Curve.

Penyerang kemudian menghantar sUSD kepada IronBank, membolehkan dia meneruskan meminjam, meminjamkan dan menerima cySUSD (sebahagian daripada sUSD digunakan untuk membayar yuran transaksi). Selain itu, 10 juta USD telah dipinjam menggunakan pinjaman kilat , dan terus digunakan untuk meningkatkan jumlah cySUSD.

Akhirnya, penyerang itu memiliki banyak cySUSD sehingga dia boleh meminjam apa-apa daripada Ironbank.

Pada ketika ini, penyerang meminjam:

• 13.2K WETH
• 3.6 juta USDC
• 5.6 juta USDTILLION
• 4.2M PANJANG

Akhirnya dia:

• Depositkan stablecoin ke Aave V2.
• 1k ETH “charity: Kembali ke IronBank dan Homora.
• Pengubahan wang haram (220 ETH) melalui Tornado Cash.
• Dan baki kira-kira 11k ETH berada dalam alamat dompet penyerang.

Drama bermula!!

Serangan itu menyebabkan banyak kerosakan pada Cream Finance, tetapi tidak lama kemudian projek itu menulis tweet bahawa protokol mereka berfungsi dengan baik dan tidak digodam.

Jika Krim bukan mangsa, maka siapakah yang diserang? Semua mata mula tertumpu pada Alpha Finance, tetapi projek itu mempunyai langkah pemprosesan yang pantas dan maklumat yang dikemas kini sepenuhnya untuk pengguna selepas beberapa jam sahaja.

Gambaran keseluruhan laporan insiden daripada Alpha

1. Penyerang meminjam ETH daripada Cream's Ironbank menggunakan sUSD sebagai cagaran.
2. Penyerang membayar balik pinjaman sUSD. Walau bagaimanapun, disebabkan pepijat dalam produk Alpha penyerang boleh memperoleh sejumlah kecil wang melalui ini.
3. Ulang sehingga nombor itu melintasi 7 nombor.
4. Pada masa ini Alpha Homora mempunyai hutang yang besar dengan IronBank, tetapi sudah tentu penghutang itu sudah melarikan diri.
5. Dia mencuci wang melalui Tornado Cash dan memberikan kembali 1,000 ETH kepada Alpha dan Cream.

Nota : Ini tidak menyebabkan pemberi pinjaman Cream kehilangan aset mereka secara langsung, sebaliknya mereka menanggung hutang yang besar daripada Alpha Homora. 

Siapa yang menjadi mangsa?

Krim dan Alpha, jadi siapa yang menjadi mangsa?

Pihak yang terlibat dalam serangan itu termasuk:

• Krim v2 : Bersetuju untuk integrasi intensif peringkat kontrak dengan Alpha Homora v2.
• Alpha Homora v2 : Bersetuju di peringkat kontrak untuk meminjam aset daripada Cream v2 tanpa cagaran.
• Pemberi Pinjaman Krim : Apabila komuniti bersetuju dengan perjanjian mengenai kerjasama intensif antara Krim dan Alpha, ini bermakna pemberi pinjaman bukan sahaja memberi pinjaman kepada pengguna Krim tetapi juga kepada pengguna Alpha Homora v2.
• Peminjam pada Alpha : Sama seperti peminjam pada Alpha bukan sahaja meminjam daripada Alpha tetapi juga dari Cream v2. Penyerang tergolong dalam kumpulan ini dan diklasifikasikan sebagai peminjam dengan niat jahat.

Sekarang:

• Pada tahap asas : Alpha Homora berhutang Krim v2.
• Melihat lebih dalam : Aset daripada pemberi pinjaman pada Cream sedang dipinjam oleh pihak dengan niat yang tidak baik.

Dengan analisis di atas, maka Alpha sepatutnya menjadi pihak yang memberi pampasan bagi kerosakan Krim. Walau bagaimanapun, dari perspektif teknikal, Cream ialah pihak yang bertanggungjawab untuk mendapatkan aset pemberi pinjaman. Jadi Alpha boleh mengetepikan tanggungjawab sepenuhnya dan membatalkan kerjasama, meninggalkan hutang lapuk itu kepada pengguna Krim.

Sudah tentu dengan reputasi dan kejayaan masa kini, keupayaan Alpha untuk melakukan ini adalah sangat rendah. Tetapi serangan itu menyerlahkan masalah sedia ada dengan kerjasama antara projek dalam DeFi.

Akibat

Perkara menarik seterusnya ialah walaupun serangan itu dilakukan melalui kontrak Alpha, Krim yang lebih menderita. AUM (aset di bawah pengurusan) Cream turun daripada 700 juta kepada 200 juta dalam masa 1 hari sahaja dan harga token turun sebanyak 30%. Sebaliknya, AUM Alpha hanya berkurangan sebanyak 10% dan potongan jualan token adalah tidak ketara.

Punca paradoks ini boleh disebabkan oleh:

1. Krim adalah yang pertama didedahkan, jadi jualan panik memberi kesan yang kuat kepada mereka.
2. Pemberi pinjaman Cream menyedari bahawa merekalah yang paling menderita (selain daripada penurunan harga token, pengguna Alpha hampir tidak mengalami apa-apa).

Pemberian pinjaman kepada pasaran dengan leverage x9 adalah terlalu berisiko walaupun sebelum serangan, dan pemberi pinjaman Cream semakin menyedari perkara ini.

pelajaran

Serangan ini telah membuktikan bahawa DeFi masih sangat muda pada masa ini dan risikonya besar untuk pengguna. Pengauditan sangat memakan masa dan mahal malah selepas audit dilakukan, jika produk tidak menepati citarasa, semuanya akan gagal. 

Alpha mengaudit dua kali dan masih digodam, serangan itu sangat kompleks sehingga ia mengambil masa berjam-jam pemaju dan penyelidik untuk memahami sifat masalah. 

Minggu lepas yDAI (kebal 1 Yearn) telah digodam, pasukan pembangunan telah menghasilkan penyelesaian untuk membuka perbendaharaan untuk membayar pampasan kepada semua orang atas kerosakan. Walau bagaimanapun, dengan Alpha, pasaran yang menerima token mereka sebagai hutang adalah terlalu kecil, jadi jika Alpha ingin membayar pampasan, ia perlu membuat perjanjian berasingan dengan pemberi pinjaman.

Daripada serangan di atas, banyak penyelesaian akan diperlukan untuk memastikan keselamatan dan keselamatan kedua-dua projek dan pengguna. Beberapa cadangan termasuk:

1. Lakukan ujian automatik dan teruskan membandingkan dan memastikan ketepatan algoritma.
2. Skala TVL perlahan-lahan memastikan keselamatan dalam setiap peringkat untuk meminimumkan kerosakan serendah mungkin.

Epilog

Garis antara risiko dan keberkesanan akan diuji lebih dan lebih, dan setiap serangan adalah pengajaran untuk DeFi matang.

Bagi pelabur sendiri, sebelum ape-in ​​kepada projek, peruntukan modal yang betul dan mengambil masa untuk memahami sistem adalah prasyarat. Selain itu, menyaksikan keputusan dan tindakan projek selepas diserang juga merupakan ujian yang baik untuk melihat sama ada pasukan pembangunan benar-benar ghairah dengan produk mereka.

"Pulangan berjalan seiring dengan risiko"

Pautan rujukan: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f