Alfa ve Kreme Yapılan Saldırıların Şifresini Çözme - DeFi İşbirliği Test Edildiğinde

Alfa ve Krem Üzerindeki Kod Çözme Saldırıları - DeFi işbirliği test edildiğinde. Makale, DeFi alanı için son hack ve dersleri anlatıyor.

10 dakika içinde, CREAM'in fiyatı bazen %30'dan fazla düştü, ALPHA'nın fiyatı da keskin bir şekilde düştü!

Son Krem saldırısı, DeFi tarihindeki en karmaşık saldırılardan biri olarak kabul ediliyor. Bu, herhangi bir proje veya yatırımcının dikkate alması gereken bir ders olan DeFi'de işbirliğini test etmek hakkında iyi bir hikaye.

Aşağıdaki makale, size saldırının ilerlemesini göndermek, bu olayı ve DeFi alanını daha iyi ve daha iyi hale getirmek için öğrenilen dersleri analiz etmek için birçok kaynaktan referans alınmıştır. 

Başlayalım!

Gelişmeler

Hack sözleşmesi aşağıdadır: https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

Cream'in IronBank'ı saldırıya uğradı ve toplamda 37.5 milyon dolarlık hasar meydana geldi. 

Saldırgan, işlem bilgilerine dayanarak Alpha Homora'yı kullanır ve her seferinde iki kat daha fazla olmak üzere IronBank'tan sUSD ödünç alır.

Not : Iron Bank, Cream'in yeni bir ürünüdür, Iron Bank beyaz listeye alınmış projeler aracılığıyla Krem'den teminat OLMADAN varlık ödünç alabilecektir. 

Ayrıntılar burada bulunabilir .

Saldırgan önce 2 işlem yapar ve cySUSD almak için IronBank'a varlık gönderir. Ardından Aave v2'den flash kredi kullanarak, Eğri aracılığıyla USDC'yi sUSD'ye dönüştürmeye başladı.

Saldırgan daha sonra IronBank'a sUSD göndererek cySUSD'yi ödünç almaya, ödünç vermeye ve almaya devam etmesine izin verir (sUSD'nin bir kısmı işlem ücretlerini ödemek için kullanılır). Ayrıca flash krediler kullanılarak 10 milyon USD borç alınmış ve cySUSD tutarını artırmak için kullanılmaya devam edilmiştir.

Sonunda, saldırgan o kadar çok cySUSD'ye sahipti ki Ironbank'tan her şeyi ödünç alabildi.

Bu noktada, saldırgan şunları ödünç alır:

• 13.2K ISLAK
• 3,6 milyon ABD Doları
• 5,6 milyon ABD Doları
• 4.2M UZUN

Sonunda o:

• Stabilcoinleri Aave V2'ye yatırın.
• 1k ETH “hayır kurumu: IronBank ve Homora'ya geri dönelim.
• Tornado Cash aracılığıyla kara para aklama (220 ETH).
• Ve kalan yaklaşık 11k ETH, saldırganın cüzdan adresinde.

Dram başlıyor!!

Saldırı Cream Finance'e çok fazla zarar verdi, ancak kısa süre sonra proje protokollerinin düzgün çalıştığını ve saldırıya uğramadığını tweetledi.

Eğer Cream kurban değilse, saldırıya uğrayan kimdi? Tüm gözler Alpha Finance'e odaklanmaya başladı, ancak proje sadece birkaç saat sonra hızlı işlem adımlarına ve kullanıcılar için tamamen güncellenmiş bilgilere sahipti.

Alpha'dan gelen olay raporlarına genel bakış

1. Saldırgan, teminat olarak sUSD kullanarak Cream'in Ironbank'ından ETH ödünç alır.
2. Saldırgan sUSD kredisini geri öder. Ancak, Alpha'nın ürünündeki bir hata nedeniyle, saldırgan bu sayede küçük bir miktar para kazanabilir.
3. Bu sayı 7 sayıyı geçene kadar tekrarlayın.
4. Bu sırada Alpha Homora'nın IronBank'a çok büyük bir borcu vardı, ama tabii borçlu zaten kaçıyordu.
5. Tornado Cash aracılığıyla kara para akladı ve Alpha ve Cream'e 1.000 ETH verdi.

Not : Bu, Cream'e borç verenlerin varlıklarını doğrudan kaybetmelerine neden olmaz, bunun yerine Alpha Homora'dan büyük bir borç alırlar. 

Kurban kim?

Krem ve Alfa, peki kurban kim?

Saldırıya katılan taraflar şunlardır:

• Cream v2 : Alpha Homora v2 ile sözleşme düzeyinde yoğun entegrasyon için anlaşma sağlandı.
• Alpha Homora v2 : Cream v2'den teminatsız varlık ödünç almak için sözleşme düzeyinde anlaşın.
• Lender on Cream : Topluluk, Cream ve Alpha arasında yoğun bir işbirliği konusunda bir anlaşmayı kabul ettiğinde, bu, borç verenin yalnızca Cream kullanıcılarına değil, Alpha Homora v2 kullanıcılarına da borç verdiği anlamına gelir.
• Alpha'da Borç Alan : Alpha'da ödünç alan gibi, sadece Alpha'dan değil, Cream v2'den de ödünç alır. Saldırgan bu gruba aittir ve kötü niyetli bir borçlu olarak sınıflandırılır.

Şu anda:

• Temel düzeyde : Alpha Homora, Cream v2'ye borçludur.
• Daha derine bakmak : Cream'deki borç verenlerin varlıkları, parti tarafından kötü niyetlerle ödünç alınıyor.

Yukarıdaki analizle Alpha, Cream'in hasarını telafi edecek taraf olmalıdır. Bununla birlikte, teknik açıdan, Cream, borç verenin varlıklarını güvence altına almaktan sorumlu taraftır. Böylece Alpha sorumluluktan tamamen feragat edebilir ve işbirliğini iptal edebilir ve bu kötü borcu Cream kullanıcılarına bırakabilir.

Tabii ki günümüzün itibarı ve başarısı ile Alpha'nın bunu yapma kabiliyeti çok düşük. Ancak saldırı, DeFi'deki projeler arasındaki işbirliğiyle ilgili mevcut bir sorunu vurguladı.

Sonuçlar

Bir sonraki ilginç şey ise saldırı Alpha'nın kontratıyla gerçekleştirilmiş olsa da Cream'in daha çok acı çekmesiydi. Cream'in AUM'si (yönetim altındaki varlıklar) sadece 1 günde 700 milyondan 200 milyona düştü ve token fiyatı %30 düştü. Buna karşılık, Alpha'nın AUM'si sadece %10 düştü ve token satışı önemsizdi.

Bu paradoksun nedeni şunlar olabilir:

1. İlk gün ışığına çıkan krem ​​oldu, bu yüzden panik satışının onlar üzerinde güçlü bir etkisi oldu.
2. Cream'e borç verenler, en çok acı çekenlerin onlar olduğunu fark etti (token fiyatlarındaki düşüşün yanı sıra, Alpha kullanıcıları neredeyse hiçbir şey yaşamadı).

X9 kaldıraçlı bir piyasaya borç vermek saldırıdan önce bile çok riskliydi ve Cream'in borç verenleri bunun giderek daha fazla farkına varıyor.

Ders

Bu saldırılar, DeFi'nin şu anda hala çok genç olduğunu ve kullanıcılar için riskin büyük olduğunu kanıtladı. Denetim çok zaman alıcı ve pahalıdır ve denetim yapıldıktan sonra bile ürün tadına uymazsa her şey başarısız olur. 

Alpha iki kez denetlendi ve hala saldırıya uğradı, saldırı o kadar karmaşıktı ki, geliştiricilerin ve araştırmacıların sorunun doğasını anlaması saatler sürdü. 

Geçen hafta yDAI (1 Yearn'in kasası) saldırıya uğradı, geliştirme ekibi hazineyi açmak için herkese zararı tazmin etmek için bir çözüm buldu. Ancak Alpha ile, tokenlerini borç olarak kabul eden piyasa çok küçük, bu yüzden Alpha telafi etmek isterse, borç verenlerle ayrı bir anlaşma yapmak zorunda kalacak.

Yukarıdaki saldırılardan hem projelerin hem de kullanıcıların güvenliğini ve emniyetini sağlamak için birçok çözüme ihtiyaç duyulacaktır. Birkaç öneri şunları içerir:

1. Otomatik testler yapın ve sürekli olarak karşılaştırın ve algoritmanın doğruluğunu sağlayın.
2. Scale TVL, hasarı mümkün olduğunca en aza indirmek için her aşamada güvenliği yavaşça sağlar.

sonsöz

Risk ve etkinlik arasındaki çizgi giderek daha fazla test edilecek ve her saldırı DeFi'nin olgunlaşması için bir ders olacak.

Yatırımcıların kendileri için, bir projeye girmeden önce, uygun sermaye tahsisi ve sistemi anlamak için zaman ayırmak bir ön koşuldur. Ek olarak, saldırıya uğradıktan sonra projenin kararına ve eylemine tanık olmak, geliştirme ekibinin ürünleri hakkında gerçekten tutkulu olup olmadığını görmek için de iyi bir testtir.

“Geri dönüşler riskle el ele gider”

Referans bağlantısı: https://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f