Расшифровка атак на Alpha и Cream — когда сотрудничество DeFi подвергается испытанию

Атаки декодирования на Alpha и Cream — когда сотрудничество DeFi подвергается испытанию. В статье рассказывается о недавнем взломе и уроках для пространства DeFi.

Цена на СЛИВ за 10 минут иногда обваливалась более чем на 30%, цена на АЛЬФУ тоже резко падала!

Недавняя атака Cream считается одной из самых сложных атак в истории DeFi. Это хорошая история о проверке сотрудничества в DeFi, урок, который должен усвоить любой проект или инвестор.

В следующей статье используются ссылки из многих источников, чтобы сообщить вам о ходе атаки, проанализировать это событие и извлечь уроки для развития пространства DeFi, чтобы оно становилось все лучше и лучше. 

Давайте начнем!

События

Ниже приведен контракт на взлом: https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b .

IronBank Cream был взломан, общий ущерб составил 37,5 миллионов долларов. 

Судя по информации о транзакции, злоумышленник использует Alpha Homora и занимает у IronBank sUSD, каждый раз в два раза больше.

Примечание : Iron Bank — это новый продукт Cream, через проекты, включенные в белый список Iron Bank, они смогут брать активы у Cream БЕЗ залога. 

Подробности можно найти здесь.

Злоумышленник сначала совершает 2 транзакции и отправляет активы в IronBank для получения cySUSD. Затем, используя flashloan от Aave v2, он приступил к конвертации USDC в sUSD через Curve.

Расшифровка атак на Alpha и Cream — когда сотрудничество DeFi подвергается испытанию

Затем злоумышленник отправляет sUSD в IronBank, что позволяет ему продолжать занимать, кредитовать и получать cySUSD (часть sUSD используется для оплаты комиссий за транзакцию). Кроме того, 10 миллионов долларов США были заимствованы с использованием экспресс-кредитов , которые продолжали использоваться для увеличения суммы cySUSD.

В конце концов, у злоумышленника было столько cySUSD, что он смог занять что угодно в Ironbank.

Расшифровка атак на Alpha и Cream — когда сотрудничество DeFi подвергается испытанию

В этот момент злоумышленник заимствует:

  • 13,2 тыс.
  • 3,6 млн долларов США
  • 5,6 млн долларов США
  • 4,2 м в длину

Расшифровка атак на Alpha и Cream — когда сотрудничество DeFi подвергается испытанию

Наконец он:

  • Внесите стабильные монеты в Aave V2.
  • 1k ETH «благотворительность: вернемся к IronBank и Homora.
  • Отмывание денег (220 ETH) через Tornado Cash.
  • А оставшиеся около 11 тыс. ETH находятся на адресе кошелька злоумышленника.

Расшифровка атак на Alpha и Cream — когда сотрудничество DeFi подвергается испытанию

Драма начинается!!

Атака нанесла большой ущерб Cream Finance, но вскоре проект написал в Твиттере, что их протокол работает исправно и не был взломан.

Если Крим не был жертвой, то на кого напали? Все внимание было приковано к Alpha Finance, но в проекте были быстрые этапы обработки и полностью обновлялась информация для пользователей уже через несколько часов.

Обзор отчетов об инцидентах от Alpha

  1. Злоумышленник занимает ETH у Ironbank Cream, используя sUSD в качестве залога.
  2. Злоумышленник погашает кредит sUSD. Однако из-за ошибки в продукте Alpha злоумышленник может заработать на этом небольшую сумму денег.
  3. Повторяйте, пока это число не пересечет 7 цифр.
  4. В это время у Alpha Homora был огромный долг перед IronBank, но должник, конечно же, уже убегал.
  5. Он отмыл деньги через Tornado Cash и вернул 1000 ETH компаниям Alpha и Cream.

Примечание : это не приводит к прямой потере активов кредиторами Cream, вместо этого они берут на себя огромный долг от Alpha Homora. 

Кто жертва?

Крем и Альфа, так кто жертва?

Стороны, участвующие в нападении, включают:

  • Cream v2 : Согласен на интенсивную интеграцию на уровне контракта с Alpha Homora v2.
  • Alpha Homora v2 : согласитесь на уровне контракта заимствовать активы у Cream v2 без залога.
  • Кредитор на Cream : когда сообщество соглашается на соглашение об интенсивном сотрудничестве между Cream и Alpha, это означает, что кредитор кредитует не только пользователей Cream, но и пользователей Alpha Homora v2.
  • Заемщик на Альфе : Подобно заемщику на Альфе, заимствование не только у Альфы, но и у Cream v2. Злоумышленник принадлежит к этой группе и классифицируется как заемщик с плохими намерениями.

Расшифровка атак на Alpha и Cream — когда сотрудничество DeFi подвергается испытанию

Прямо сейчас:

  • На фундаментальном уровне : Alpha Homora обязана Cream v2.
  • Глядя глубже : активы кредиторов Cream заимствованы стороной с плохими намерениями.

Исходя из приведенного выше анализа, Альфа должен быть стороной, компенсирующей ущерб Крима. Однако с технической точки зрения Cream является стороной, ответственной за сохранность активов кредитора. Таким образом, Alpha может полностью снять с себя ответственность и прекратить сотрудничество, оставив этот безнадежный долг пользователям Cream.

Конечно, при нынешней репутации и успехе возможности Альфы сделать это очень малы. Но атака высветила существующую проблему с сотрудничеством между проектами в DeFi.

Последствие

Следующий интересный момент заключается в том, что хоть атака и была проведена по контракту Альфы, больше пострадал именно Cream. AUM (активы под управлением) Cream упали с 700 миллионов до 200 миллионов всего за 1 день, а цена токена упала на 30%. Напротив, AUM Alpha уменьшился только на 10%, а продажа токенов была незначительной.

Причиной этого парадокса может быть:

  1. Cream первыми появились на свет, поэтому панические продажи оказали на них сильное влияние.
  2. Кредиторы Cream поняли, что они пострадали больше всего (помимо падения цен на токены, пользователи Alpha почти ничего не пострадали).

Кредитование рынка с кредитным плечом x9 было слишком рискованным даже до атаки, и кредиторы Cream все больше осознают это.

Урок

Эти атаки доказали, что DeFi в настоящее время все еще очень молод, и риск для пользователей велик. Аудит требует очень много времени и денег, и даже после проведения аудита, если продукт не соответствует вкусу, все будет провалено. 

Alpha дважды проходила аудит и все равно была взломана, атака была настолько сложной, что разработчикам и исследователям потребовались часы, чтобы понять природу проблемы. 

На прошлой неделе yDAI (хранилище 1 Yearn's) было взломано, команда разработчиков придумала решение открыть сокровищницу, чтобы компенсировать всем ущерб. Однако с Alpha рынок, который принимает их токены в качестве долга, слишком мал, поэтому, если Alpha хочет компенсировать, ей придется заключить отдельное соглашение с кредиторами.

Из вышеперечисленных атак потребуется множество решений для обеспечения безопасности как проектов, так и пользователей. Несколько предложений включают в себя:

  1. Проводите автоматизированные тесты и постоянно сравнивайте и проверяйте правильность алгоритма.
  2. Масштаб TVL медленно обеспечивает безопасность на каждом этапе, чтобы свести к минимуму ущерб.

Эпилог

Грань между риском и эффективностью будет проверяться все больше и больше, и каждая атака — это урок для взросления DeFi.

Для самих инвесторов перед тем, как приступить к проекту, необходимым условием является правильное распределение капитала и время, необходимое для понимания системы. Кроме того, наблюдение за решением и действиями проекта после атаки также является хорошим тестом, чтобы увидеть, действительно ли команда разработчиков увлечена своим продуктом.

«Доходность идет рука об руку с риском»

Ссылка на ссылку: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f



Мина сотрудничает с Полигоном

Мина сотрудничает с Полигоном

Mina и Polygon будут работать вместе над разработкой продуктов, повышающих масштабируемость, расширенную проверку и конфиденциальность.

Достижения Perpetual Protocol со времен основной сети

Достижения Perpetual Protocol со времен основной сети

Официальная основная сеть Perpetual Protocol на Ethereum 14 февраля 2021 года. Чего добился Perpetual Protocol за 1 месяц?

Кто 9 выдающихся победителей 1-го хакатона Solana X Serum?

Кто 9 выдающихся победителей 1-го хакатона Solana X Serum?

В статье представлены 9 выдающихся победителей хакатона Solana & Serum DeFi.

Alpha Homora — на пути к эре мультичейнов

Alpha Homora — на пути к эре мультичейнов

Alpha Homora - На пути к эре мультицепей. Объявление об интеграции других цепочек Alpha, начиная с Binance Smart Chain.

Интервью с Марком Цукербергом: что сделает Meta, чтобы реализовать виртуальную вселенную Metaverse?

Интервью с Марком Цукербергом: что сделает Meta, чтобы реализовать виртуальную вселенную Metaverse?

Краткое изложение интервью между ютубером Сарой Дитчи и Марком Цукербергом, чтобы увидеть амбиции Меты в отношении виртуальной вселенной Метавселенной.

The Graph сотрудничает с Polygon (Matic) для решений уровня 2

The Graph сотрудничает с Polygon (Matic) для решений уровня 2

Объявление о партнерстве между Polygon (Matic) и The Graph и анализ выгод для инвестиций от этого сотрудничества.

Токеномика АЛЬФА - Оптимизация преимуществ для держателей токенов

Токеномика АЛЬФА - Оптимизация преимуществ для держателей токенов

В статье подробно описывается токеномика ALPHA, а держателям ALPHA предлагается оптимизировать прибыль от этого изменения.

Что такое Ковид-19? Понимание и как этого избежать

Что такое Ковид-19? Понимание и как этого избежать

Коронавирус был и остается горячей проблемой для всего сообщества, и каждый член этого сообщества обязан объединить усилия, чтобы поддержать друг друга.

Лупе Фиаско — артистка, обладательница премии Грэмми, будет продавать NFT в Origin

Лупе Фиаско — артистка, обладательница премии Грэмми, будет продавать NFT в Origin

Мы рады объявить о первом запуске NFT от Lupe Fiasco на флагманской панели запуска NFT от Origin.

Cream V2 и Iron Bank — новое слово в кредитовании DeFi (часть 2)

Cream V2 и Iron Bank — новое слово в кредитовании DeFi (часть 2)

Статья о Iron Bank, ключевом продукте Cream V2. Помогите вывести кредитование в DeFi на новый уровень.

OUSD: первая стабильная монета, которую можно фармить на кошельке

OUSD: первая стабильная монета, которую можно фармить на кошельке

23 сентября 2020 года Origin Protocol (Origin) запустил свою стабильную монету: OUSD — стабильную монету высокого класса на платформе Ethereum.

Sushi AMA Recap - большие амбиции суши

Sushi AMA Recap - большие амбиции суши

Переведенное резюме сеанса AMA Суши, обновления, информация, влияющая на цену токена и большие амбиции Суши.

Aavegotchi анонсирует Litepaper для Game World Gotchiverse

Aavegotchi анонсирует Litepaper для Game World Gotchiverse

Aavegotchi, проект по созданию персонажей NFT с прибыльными токенами на Aave, анонсировал облегченную бумагу для Gotchiverse.

Balancer V2 — новый эталон для AMM

Balancer V2 — новый эталон для AMM

В статье представлена ​​самая важная информация о следующем обновлении Balancer.

BlackHoleSwap WhitePaper

BlackHoleSwap WhitePaper

BlackHoleSwap — это децентрализованный AMM, разработанный для стейблкоинов. В статье представлена ​​полезная информация о BlackHoleSwap.

Что такое MakerDAO и DAI? Интервью Густава Арентофта с Le Thanh

Что такое MakerDAO и DAI? Интервью Густава Арентофта с Le Thanh

Что такое MakerDAO и DAI? В этой статье будут обобщены важные вопросы MakerDAO & DAI AMA с Густавом Арентофтом.

BIP-X - план на 2021 год и долгосрочное видение Basis Cash 2nd edition

BIP-X - план на 2021 год и долгосрочное видение Basis Cash 2nd edition

Дорожная карта на 2021 год и предстоящий путь Basis Cash

Обновление комиссии за транзакцию FTX

Обновление комиссии за транзакцию FTX

FTX в настоящее время является криптобиржей, которую используют многие люди. Ниже приведены последние изменения в обменных комиссиях FTX в 2021 году.

Запуск BentoBox и планы на будущее SushiSwap

Запуск BentoBox и планы на будущее SushiSwap

В статье представлена ​​информация о последнем продукте SushiSwap, а также о планах проекта на будущее.

Каши - Новое уравнение для задачи кредитования и маржинальной торговли

Каши - Новое уравнение для задачи кредитования и маржинальной торговли

Узнайте о Kashi — ярком имени, которое помогает пользователям оптимизировать прибыль при кредитовании и маржинальной торговле на платформе SushiSwap.

Мина сотрудничает с Полигоном

Мина сотрудничает с Полигоном

Mina и Polygon будут работать вместе над разработкой продуктов, повышающих масштабируемость, расширенную проверку и конфиденциальность.

Анализ операционной модели Uniswap V2 (UNI) — основа AMM

Анализ операционной модели Uniswap V2 (UNI) — основа AMM

Проанализируйте и оцените операционную модель Uniswap V2, самую базовую модель для любого AMM.

Инструкции по использованию биржи Remitano: покупка и продажа биткойнов на бирже Remitano

Инструкции по использованию биржи Remitano: покупка и продажа биткойнов на бирже Remitano

Биржа Remitano — первая биржа, которая позволяет покупать и продавать криптовалюты в VND. Подробные инструкции по регистрации в Remitano и покупке и продаже биткойнов прямо здесь!

Инструкции по участию в тестовой сети Tenderize на Solana подробные и понятные.

Инструкции по участию в тестовой сети Tenderize на Solana подробные и понятные.

Статья предоставит вам наиболее полную и подробную инструкцию по использованию тестовой сети Tenderize.

Полное и подробное руководство по использованию Mango Markets

Полное и подробное руководство по использованию Mango Markets

Эта статья предоставит вам наиболее полное и подробное руководство по использованию Mango Markets, чтобы испытать все функциональные возможности этого нового проекта на Solana.

UNLOCKED Series #1 — Повышение безопасности в приложении Coin98 Super

UNLOCKED Series #1 — Повышение безопасности в приложении Coin98 Super

В этом первом выпуске серии UNLOCKED мы добавим дополнительный уровень безопасности для вашего кошелька с помощью настроек безопасности.

Как безопасно выращивать криптовалюту и присоединяться к DeFi?

Как безопасно выращивать криптовалюту и присоединяться к DeFi?

Фермерство — это хороший шанс для пользователей легко заработать криптовалюту в DeFi. Но как правильно добывать криптовалюту и безопасно присоединяться к DeFi?

Оценка DeFi: можно ли оценить DeFi по денежному потоку?

Оценка DeFi: можно ли оценить DeFi по денежному потоку?

Статья переводит мнение автора @jdorman81 по вопросу оценки в Defi, а также некоторые личные мнения переводчика.

Инструкция по использованию пола Saddle Finance от А до Я

Инструкция по использованию пола Saddle Finance от А до Я

Saddle Finance — это AMM, который позволяет торговать и обеспечивает ликвидность для tBTC, WBTC, sBTC и renBTC. Руководство пользователя седлового пола.

К чему готовиться, когда Биткойн (BTC) превысит пик в 500 миллионов донгов за BTC и вернется ли сезон Pump Coin в 2017 году?

К чему готовиться, когда Биткойн (BTC) превысит пик в 500 миллионов донгов за BTC и вернется ли сезон Pump Coin в 2017 году?

Почему вы должны начать следить за биткойнами (BTC) сейчас? И к чему готовиться, когда Биткойн (BTC) превысит пик в 500 миллионов VND/BTC?

Sign up and Earn ⋙
Sign up and Earn ⋙