Aanvallen op Alpha en Cream ontsleutelen - wanneer DeFi-samenwerking op de proef wordt gesteld

Decoderingsaanvallen op Alpha en Cream - Wanneer DeFi-samenwerking op de proef wordt gesteld. Het artikel vertelt over de recente hack en lessen voor de DeFi-ruimte.

In 10 minuten zakte de prijs van CREAM soms meer dan 30% in, de prijs van ALPHA daalde ook sterk!

De recente Cream-aanval wordt beschouwd als een van de meest complexe aanvallen in de geschiedenis van DeFi. Dit is een goed verhaal over het op de proef stellen van samenwerking in DeFi, een les die elk project of elke investeerder in acht moet nemen.

Er wordt vanuit vele bronnen naar het volgende artikel verwezen om u de voortgang van de aanval te sturen, die gebeurtenis te analyseren en de geleerde lessen om de DeFi-ruimte te ontwikkelen om steeds beter te worden. 

Laten we beginnen!

ontwikkelingen

Hieronder staat het contract van de hack: https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

Cream's IronBank werd gehackt, in totaal $ 37,5 miljoen aan schade. 

Op basis van de transactie-informatie gebruikt de aanvaller Alpha Homora en leent hij sUSD van IronBank, telkens twee keer zoveel.

Opmerking : Iron Bank is een nieuw product van Cream, via Iron Bank op de witte lijst geplaatste projecten kunnen activa van Cream lenen ZONDER onderpand. 

Details zijn hier te vinden.

De aanvaller voert eerst 2 transacties uit en stuurt activa naar IronBank om cySUSD te ontvangen. Vervolgens gebruikte hij flashloan van Aave v2 en converteerde hij USDC naar sUSD via Curve.

Aanvallen op Alpha en Cream ontsleutelen - wanneer DeFi-samenwerking op de proef wordt gesteld

De aanvaller stuurt vervolgens sUSD naar IronBank, waardoor hij cySUSD kan blijven lenen, uitlenen en ontvangen (een deel van de sUSD wordt gebruikt om transactiekosten te betalen). Daarnaast werd 10 miljoen USD geleend met behulp van flitsleningen en werd dit nog steeds gebruikt om het bedrag aan cySUSD te verhogen.

Uiteindelijk bezat de aanvaller zoveel cySUSD dat hij alles van Ironbank kon lenen.

Aanvallen op Alpha en Cream ontsleutelen - wanneer DeFi-samenwerking op de proef wordt gesteld

Op dit punt leent de aanvaller:

  • 13.2K WETH
  • 3,6 miljoen USDC
  • 5,6 miljoen USDTILJOEN
  • 4.2M LANG

Aanvallen op Alpha en Cream ontsleutelen - wanneer DeFi-samenwerking op de proef wordt gesteld

Eindelijk hij:

  • Stort stablecoins naar Aave V2.
  • 1k ETH "liefdadigheid: terug naar IronBank en Homora.
  • Witwassen van geld (220 ETH) via Tornado Cash.
  • En de resterende ongeveer 11k ETH bevindt zich in het portemonnee-adres van de aanvaller.

Aanvallen op Alpha en Cream ontsleutelen - wanneer DeFi-samenwerking op de proef wordt gesteld

Drama begint!!

De aanval veroorzaakte veel schade aan Cream Finance, maar al snel tweette het project dat hun protocol goed werkte en niet was gehackt.

Als Cream niet het slachtoffer was, wie was dan degene die werd aangevallen? Alle ogen begonnen zich op Alpha Finance te richten, maar het project had al na een paar uur snelle verwerkingsstappen en volledig bijgewerkte informatie voor gebruikers.

Een overzicht van incidentmeldingen van Alpha

  1. De aanvaller leent ETH van Cream's Ironbank met sUSD als onderpand.
  2. De aanvaller betaalt de sUSD-lening terug. Door een bug in Alpha's product kan een aanvaller hier echter een klein bedrag aan verdienen.
  3. Herhaal totdat dat nummer 7 nummers kruist.
  4. Alpha Homora had op dat moment een enorme schuld bij IronBank, maar de debiteur liep natuurlijk al weg.
  5. Hij waste geld wit via Tornado Cash en gaf 1.000 ETH terug aan Alpha en Cream.

Opmerking : Dit zorgt er niet voor dat de kredietverstrekkers van Cream hun activa direct verliezen, in plaats daarvan bouwen ze een enorme schuld op van Alpha Homora. 

Wie is het slachtoffer?

Cream en Alpha, dus wie is het slachtoffer?

De partijen die betrokken zijn bij de aanval zijn onder meer:

  • Cream v2 : Akkoord gegaan met intensieve integratie op contractniveau met Alpha Homora v2.
  • Alpha Homora v2 : Kom op contractniveau overeen om activa te lenen van Cream v2 zonder onderpand.
  • Lender on Cream : Wanneer de gemeenschap akkoord gaat met een overeenkomst over een intensieve samenwerking tussen Cream en Alpha, betekent dit dat de geldschieter niet alleen uitleent aan Cream-gebruikers, maar ook aan Alpha Homora v2-gebruikers.
  • Lener op Alpha : vergelijkbaar met lener op Alpha, leen niet alleen van Alpha, maar ook van Cream v2. De aanvaller behoort tot deze groep en wordt geclassificeerd als een lener met slechte bedoelingen.

Aanvallen op Alpha en Cream ontsleutelen - wanneer DeFi-samenwerking op de proef wordt gesteld

Direct:

  • Op een fundamenteel niveau : Alpha Homora is Cream v2.
  • Dieper kijken : De activa van de kredietverstrekkers op Cream worden geleend door de partij met slechte bedoelingen.

Met bovenstaande analyse zou Alpha de partij moeten zijn om de schade van Cream te vergoeden. Vanuit technisch oogpunt is Cream echter de partij die verantwoordelijk is voor het veiligstellen van de activa van de geldschieter. Alpha kan dus volledig afstand doen van de verantwoordelijkheid en de samenwerking opzeggen en die wanbetaling overlaten aan de gebruikers van Cream.

Natuurlijk, met de reputatie en het succes van het heden, is het vermogen van Alpha om dit te doen erg laag. Maar de aanval bracht een bestaand probleem aan het licht met de samenwerking tussen projecten in DeFi.

Gevolg

Het volgende interessante is dat, hoewel de aanval werd uitgevoerd via het contract van Alpha, Cream het meest leed. Cream's AUM (activa onder beheer) daalde in slechts 1 dag van 700 miljoen naar 200 miljoen en de tokenprijs daalde met 30%. Daarentegen daalde Alpha's AUM slechts met 10% en was de token-uitverkoop onbeduidend.

De oorzaak van deze paradox kan te wijten zijn aan:

  1. Cream was de eerste die aan het licht kwam, dus paniekverkopen hadden een sterke impact op hen.
  2. De kredietverstrekkers van Cream realiseerden zich dat zij degenen waren die het meest te lijden hadden (afgezien van de daling van de tokenprijzen, hadden Alpha-gebruikers bijna niets te lijden).

Lenen aan een markt met een hefboomwerking van x9 was zelfs vóór de aanval te riskant, en de kredietverstrekkers van Cream worden zich hiervan steeds meer bewust.

Les

Deze aanvallen hebben bewezen dat DeFi op dit moment nog erg jong is en dat het risico groot is voor gebruikers. Auditing is erg tijdrovend en duur en zelfs nadat de audit is gedaan, als het product niet overeenkomt met de smaak, zal alles mislukken. 

Alpha deed twee keer een audit en werd toch gehackt, de aanval was zo complex dat het ontwikkelaars en onderzoekers uren kostte om de aard van het probleem te begrijpen. 

Vorige week werd yDAI (1 Yearn's kluis) gehackt, het ontwikkelteam kwam met een oplossing om de schatkist te openen om iedereen te vergoeden voor de schade. Met Alpha is de markt die hun tokens als schuld accepteert echter te klein, dus als Alpha wil compenseren, zal het een aparte overeenkomst moeten sluiten met de kredietverstrekkers.

Van de bovenstaande aanvallen zullen veel oplossingen nodig zijn om de beveiliging en veiligheid van zowel projecten als gebruikers te waarborgen. Enkele suggesties zijn:

  1. Voer geautomatiseerde tests uit en vergelijk continu en zorg voor de juistheid van het algoritme.
  2. Schaal TVL zorgt langzaam voor veiligheid in elke fase om schade zo laag mogelijk te houden.

Epiloog

De grens tussen risico en effectiviteit zal meer en meer worden getest, en elke aanval is een les voor DeFi om te rijpen.

Voor investeerders zelf is een goede kapitaalallocatie en de tijd nemen om het systeem te begrijpen, voordat ze zich in een project aaperen. Bovendien is getuige zijn van de beslissing en actie van het project nadat het is aangevallen, ook een goede test om te zien of het ontwikkelingsteam echt gepassioneerd is over hun product.

“Rendement gaat hand in hand met risico”

Referentielink: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f



Mina werkt samen met Polygon

Mina werkt samen met Polygon

Mina en Polygon zullen samenwerken om producten te ontwikkelen die de schaalbaarheid, verbeterde verificatie en privacy vergroten.

De prestaties van het Perpetual Protocol sinds Mainnet

De prestaties van het Perpetual Protocol sinds Mainnet

Perpetual Protocol Official Mainnet op Ethereum op 14 februari 2021. Wat heeft Perpetual Protocol bereikt in 1 maand?

Wie zijn de 9 uitmuntende winnaars van de 1e Solana X Serum Hackathon?

Wie zijn de 9 uitmuntende winnaars van de 1e Solana X Serum Hackathon?

Het artikel geeft je 9 uitstekende winnaars in de Solana & Serum DeFi Hackathon.

Alpha Homora - Op weg naar het tijdperk met meerdere ketens

Alpha Homora - Op weg naar het tijdperk met meerdere ketens

Alpha Homora - Op weg naar het tijdperk met meerdere ketens. Aankondiging van de integratie van andere Alpha-ketens, te beginnen met Binance Smart Chain.

Interview met Mark Zuckerberg: Wat gaat Meta doen om het Metaverse Virtual Universe te realiseren?

Interview met Mark Zuckerberg: Wat gaat Meta doen om het Metaverse Virtual Universe te realiseren?

Samenvatting van het interview tussen YouTuber Sara Dietschy en Mark Zuckerberg, om de ambities van Meta voor het virtuele universum van Metaverse te zien.

The Graph werkt samen met Polygon (Matic) voor Layer 2-oplossingen

The Graph werkt samen met Polygon (Matic) voor Layer 2-oplossingen

Aankondiging van de samenwerking tussen Polygon (Matic) en The Graph, en analyse van de investeringsvoordelen van deze relatie.

ALPHA-tokenomics - Optimalisatie van voordelen voor tokenhouders

ALPHA-tokenomics - Optimalisatie van voordelen voor tokenhouders

Het artikel beschrijft ALPHA's tokenomics en begeleidt ALPHA-houders om de winst van deze verandering te optimaliseren.

Wat is Covid-19? Begrijpen en hoe het te vermijden

Wat is Covid-19? Begrijpen en hoe het te vermijden

Coronavirus is en is een hot issue van de hele gemeenschap dat elk lid van die gemeenschap de verantwoordelijkheid heeft om de handen ineen te slaan om elkaar te steunen.

Lupe Fiasco – Grammy Award-winnende artiest verkoopt NFT On Origin

Lupe Fiasco – Grammy Award-winnende artiest verkoopt NFT On Origin

We zijn verheugd om de eerste NFT-lancering van Lupe Fiasco op Origin's vlaggenschip NFT Launchpad aan te kondigen.

Cream V2 & Iron Bank - Een nieuwe wind in DeFi Lending (deel 2)

Cream V2 & Iron Bank - Een nieuwe wind in DeFi Lending (deel 2)

Artikel over Iron Bank, het belangrijkste product van Cream V2. Help lenen in DeFi naar een hoger niveau te tillen.

OUSD: de eerste stabiele munt die op Wallet kan worden gekweekt

OUSD: de eerste stabiele munt die op Wallet kan worden gekweekt

Op 23 september 2020 lanceerde Origin Protocol (Origin) zijn Stable-munt: OUSD - High-end Stable-munt op het Ethereum-platform.

Sushi AMA Recap - De grote ambitie van Sushi

Sushi AMA Recap - De grote ambitie van Sushi

Vertaalde samenvatting van Sushi's AMA-sessie, updates, informatie die van invloed is op de tokenprijs en de grote ambities van Sushi.

Aavegotchi kondigt Litepaper aan voor Game World Gotchiverse

Aavegotchi kondigt Litepaper aan voor Game World Gotchiverse

Aavegotchi, het project om NFT-personages te creëren die zijn ingezet met winstgevende tokens op Aave, heeft een litepaper aangekondigd voor "Gotchiverse".

Balancer V2 - De nieuwe maatstaf voor AMM

Balancer V2 - De nieuwe maatstaf voor AMM

Het artikel geeft u de belangrijkste informatie over de volgende update van Balancer.

BlackHoleWissel WitPapier

BlackHoleWissel WitPapier

BlackHoleSwap is een gedecentraliseerde AMM die is ontworpen voor stablecoins. Het artikel geeft nuttige informatie over BlackHoleSwap.

Wat is MakerDAO & DAI? Interview met Gustav Arentoft met Le Thanh

Wat is MakerDAO & DAI? Interview met Gustav Arentoft met Le Thanh

Wat is MakerDAO & DAI? De belangrijke zaken van de MakerDAO & DAI AMA met Gustav Arentoft worden in dit artikel samengevat.

BIP-X - De blauwdruk voor 2021 en de langetermijnvisie van Basis Cash 2e editie

BIP-X - De blauwdruk voor 2021 en de langetermijnvisie van Basis Cash 2e editie

De roadmap voor 2021 en de komende reis van Basis Cash

Update transactiekosten FTX

Update transactiekosten FTX

FTX is momenteel een Crypto-uitwisseling die door veel mensen wordt gebruikt. Hieronder volgen de laatste wijzigingen in FTX-wisselkosten in 2021.

Lancering van BentoBox en toekomstplannen van SushiSwap

Lancering van BentoBox en toekomstplannen van SushiSwap

Het artikel geeft u informatie over het nieuwste product van SushiSwap en de toekomstplannen van het project.

Kashi - Nieuwe vergelijking voor probleem met uitlenen en margehandel

Kashi - Nieuwe vergelijking voor probleem met uitlenen en margehandel

Meer informatie over Kashi - een heldere naam die gebruikers helpt de winst te optimaliseren in Lending & Margin Trading op het SushiSwap-platform.

Mina werkt samen met Polygon

Mina werkt samen met Polygon

Mina en Polygon zullen samenwerken om producten te ontwikkelen die de schaalbaarheid, verbeterde verificatie en privacy vergroten.

Bedrijfsmodelanalyse Uniswap V2 (UNI) - De basis van AMM

Bedrijfsmodelanalyse Uniswap V2 (UNI) - De basis van AMM

Analyseer en evalueer het bedrijfsmodel van Uniswap V2, het meest basale model voor elke AMM.

Instructies voor het gebruik van Remitano-uitwisseling: Bitcoin kopen en verkopen op Remitano-uitwisseling

Instructies voor het gebruik van Remitano-uitwisseling: Bitcoin kopen en verkopen op Remitano-uitwisseling

Remitano-uitwisseling is de eerste uitwisseling die het kopen en verkopen van cryptocurrencies in VND mogelijk maakt. Instructies voor het registreren voor Remitano en het kopen en verkopen van Bitcoin in detail hier!

De instructies voor deelname aan het Tenderize-testnet op Solana zijn gedetailleerd en gemakkelijk te begrijpen

De instructies voor deelname aan het Tenderize-testnet op Solana zijn gedetailleerd en gemakkelijk te begrijpen

Het artikel geeft je de meest complete en gedetailleerde instructies voor het gebruik van het Tenderize testnet.

Een complete en gedetailleerde gids voor het gebruik van Mango Markets

Een complete en gedetailleerde gids voor het gebruik van Mango Markets

Dit artikel geeft je de meest complete en gedetailleerde gids voor het gebruik van Mango Markets om de volledige functionaliteit van dit nieuwe project op Solana te ervaren.

UNLOCKED Series #1 - Verbeter uw beveiliging op Coin98 Super App

UNLOCKED Series #1 - Verbeter uw beveiliging op Coin98 Super App

In deze eerste aflevering van de UNLOCKED-serie voegen we een extra beveiligingslaag toe aan uw portemonnee met behulp van Beveiligingsinstellingen.

Hoe Crypto Farmen en veilig lid worden van DeFi?

Hoe Crypto Farmen en veilig lid worden van DeFi?

Farming is een goede kans voor gebruikers om gemakkelijk crypto te verdienen in DeFi. Maar wat is de juiste manier om crypto te farmen en veilig lid te worden van DeFi?

DeFi-waardering: kan DeFi worden geprijsd op basis van cashflow?

DeFi-waardering: kan DeFi worden geprijsd op basis van cashflow?

Het artikel vertaalt de mening van auteur @jdorman81 over de kwestie van waardering in Defi, samen met enkele persoonlijke meningen van de vertaler.

Gebruiksaanwijzing Saddle Finance vloer van A tot Z

Gebruiksaanwijzing Saddle Finance vloer van A tot Z

Saddle Finance is een AMM die handel mogelijk maakt en liquiditeit verschaft aan tBTC, WBTC, sBTC en renBTC. Gebruikershandleiding zadelvloer.

Wat moet u voorbereiden als Bitcoin (BTC) de piek van 500 miljoen VND/BTC overschrijdt en zal het Pump Coin-seizoen 2017 sterk terugkeren?

Wat moet u voorbereiden als Bitcoin (BTC) de piek van 500 miljoen VND/BTC overschrijdt en zal het Pump Coin-seizoen 2017 sterk terugkeren?

Waarom zou je nu beginnen met het in de gaten houden van Bitcoin (BTC)? En wat moet u voorbereiden als Bitcoin (BTC) de piek van 500 miljoen VND/BTC overschrijdt?

Sign up and Earn ⋙
Sign up and Earn ⋙