Расшифровка атак на Alpha и Cream — когда сотрудничество DeFi подвергается испытанию

Атаки декодирования на Alpha и Cream — когда сотрудничество DeFi подвергается испытанию. В статье рассказывается о недавнем взломе и уроках для пространства DeFi.

Цена на СЛИВ за 10 минут иногда обваливалась более чем на 30%, цена на АЛЬФУ тоже резко падала!

Недавняя атака Cream считается одной из самых сложных атак в истории DeFi. Это хорошая история о проверке сотрудничества в DeFi, урок, который должен усвоить любой проект или инвестор.

В следующей статье используются ссылки из многих источников, чтобы сообщить вам о ходе атаки, проанализировать это событие и извлечь уроки для развития пространства DeFi, чтобы оно становилось все лучше и лучше. 

Давайте начнем!

События

Ниже приведен контракт на взлом: https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b .

IronBank Cream был взломан, общий ущерб составил 37,5 миллионов долларов. 

Судя по информации о транзакции, злоумышленник использует Alpha Homora и занимает у IronBank sUSD, каждый раз в два раза больше.

Примечание : Iron Bank — это новый продукт Cream, через проекты, включенные в белый список Iron Bank, они смогут брать активы у Cream БЕЗ залога. 

Подробности можно найти здесь.

Злоумышленник сначала совершает 2 транзакции и отправляет активы в IronBank для получения cySUSD. Затем, используя flashloan от Aave v2, он приступил к конвертации USDC в sUSD через Curve.

Затем злоумышленник отправляет sUSD в IronBank, что позволяет ему продолжать занимать, кредитовать и получать cySUSD (часть sUSD используется для оплаты комиссий за транзакцию). Кроме того, 10 миллионов долларов США были заимствованы с использованием экспресс-кредитов , которые продолжали использоваться для увеличения суммы cySUSD.

В конце концов, у злоумышленника было столько cySUSD, что он смог занять что угодно в Ironbank.

В этот момент злоумышленник заимствует:

• 13,2 тыс.
• 3,6 млн долларов США
• 5,6 млн долларов США
• 4,2 м в длину

Наконец он:

• Внесите стабильные монеты в Aave V2.
• 1k ETH «благотворительность: вернемся к IronBank и Homora.
• Отмывание денег (220 ETH) через Tornado Cash.
• А оставшиеся около 11 тыс. ETH находятся на адресе кошелька злоумышленника.

Драма начинается!!

Атака нанесла большой ущерб Cream Finance, но вскоре проект написал в Твиттере, что их протокол работает исправно и не был взломан.

Если Крим не был жертвой, то на кого напали? Все внимание было приковано к Alpha Finance, но в проекте были быстрые этапы обработки и полностью обновлялась информация для пользователей уже через несколько часов.

Обзор отчетов об инцидентах от Alpha

1. Злоумышленник занимает ETH у Ironbank Cream, используя sUSD в качестве залога.
2. Злоумышленник погашает кредит sUSD. Однако из-за ошибки в продукте Alpha злоумышленник может заработать на этом небольшую сумму денег.
3. Повторяйте, пока это число не пересечет 7 цифр.
4. В это время у Alpha Homora был огромный долг перед IronBank, но должник, конечно же, уже убегал.
5. Он отмыл деньги через Tornado Cash и вернул 1000 ETH компаниям Alpha и Cream.

Примечание : это не приводит к прямой потере активов кредиторами Cream, вместо этого они берут на себя огромный долг от Alpha Homora. 

Кто жертва?

Крем и Альфа, так кто жертва?

Стороны, участвующие в нападении, включают:

• Cream v2 : Согласен на интенсивную интеграцию на уровне контракта с Alpha Homora v2.
• Alpha Homora v2 : согласитесь на уровне контракта заимствовать активы у Cream v2 без залога.
• Кредитор на Cream : когда сообщество соглашается на соглашение об интенсивном сотрудничестве между Cream и Alpha, это означает, что кредитор кредитует не только пользователей Cream, но и пользователей Alpha Homora v2.
• Заемщик на Альфе : Подобно заемщику на Альфе, заимствование не только у Альфы, но и у Cream v2. Злоумышленник принадлежит к этой группе и классифицируется как заемщик с плохими намерениями.

Прямо сейчас:

• На фундаментальном уровне : Alpha Homora обязана Cream v2.
• Глядя глубже : активы кредиторов Cream заимствованы стороной с плохими намерениями.

Исходя из приведенного выше анализа, Альфа должен быть стороной, компенсирующей ущерб Крима. Однако с технической точки зрения Cream является стороной, ответственной за сохранность активов кредитора. Таким образом, Alpha может полностью снять с себя ответственность и прекратить сотрудничество, оставив этот безнадежный долг пользователям Cream.

Конечно, при нынешней репутации и успехе возможности Альфы сделать это очень малы. Но атака высветила существующую проблему с сотрудничеством между проектами в DeFi.

Последствие

Следующий интересный момент заключается в том, что хоть атака и была проведена по контракту Альфы, больше пострадал именно Cream. AUM (активы под управлением) Cream упали с 700 миллионов до 200 миллионов всего за 1 день, а цена токена упала на 30%. Напротив, AUM Alpha уменьшился только на 10%, а продажа токенов была незначительной.

Причиной этого парадокса может быть:

1. Cream первыми появились на свет, поэтому панические продажи оказали на них сильное влияние.
2. Кредиторы Cream поняли, что они пострадали больше всего (помимо падения цен на токены, пользователи Alpha почти ничего не пострадали).

Кредитование рынка с кредитным плечом x9 было слишком рискованным даже до атаки, и кредиторы Cream все больше осознают это.

Урок

Эти атаки доказали, что DeFi в настоящее время все еще очень молод, и риск для пользователей велик. Аудит требует очень много времени и денег, и даже после проведения аудита, если продукт не соответствует вкусу, все будет провалено. 

Alpha дважды проходила аудит и все равно была взломана, атака была настолько сложной, что разработчикам и исследователям потребовались часы, чтобы понять природу проблемы. 

На прошлой неделе yDAI (хранилище 1 Yearn's) было взломано, команда разработчиков придумала решение открыть сокровищницу, чтобы компенсировать всем ущерб. Однако с Alpha рынок, который принимает их токены в качестве долга, слишком мал, поэтому, если Alpha хочет компенсировать, ей придется заключить отдельное соглашение с кредиторами.

Из вышеперечисленных атак потребуется множество решений для обеспечения безопасности как проектов, так и пользователей. Несколько предложений включают в себя:

1. Проводите автоматизированные тесты и постоянно сравнивайте и проверяйте правильность алгоритма.
2. Масштаб TVL медленно обеспечивает безопасность на каждом этапе, чтобы свести к минимуму ущерб.

Эпилог

Грань между риском и эффективностью будет проверяться все больше и больше, и каждая атака — это урок для взросления DeFi.

Для самих инвесторов перед тем, как приступить к проекту, необходимым условием является правильное распределение капитала и время, необходимое для понимания системы. Кроме того, наблюдение за решением и действиями проекта после атаки также является хорошим тестом, чтобы увидеть, действительно ли команда разработчиков увлечена своим продуктом.

«Доходность идет рука об руку с риском»

Ссылка на ссылку: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f