解密對 Alpha 和 Cream 的攻擊——當 DeFi 協作經受考驗時

對 Alpha 和 Cream 的解碼攻擊 - 當 DeFi 合作受到考驗時。這篇文章講述了 DeFi 領域最近的黑客攻擊和教訓。

10分鐘內，CREAM的價格有時暴跌30%以上，ALPHA的價格也暴跌！

最近的 Cream 攻擊被認為是 DeFi 歷史上最複雜的攻擊之一。這是一個考驗 DeFi 合作的好故事，任何項目或投資者都應該注意的教訓。

以下文章引用了許多來源，向您發送攻擊的進展情況，分析該事件以及開發 DeFi 空間變得越來越好的經驗教訓。 

讓我們開始吧！

事態發展

以下是黑客合同：https ://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

Cream 的 IronBank 遭到黑客攻擊，損失總計 3750 萬美元。 

根據交易信息，攻擊者使用 Alpha Homora 並從 IronBank 借 sUSD，每次都是兩倍。

注：Iron Bank 是 Cream 的新產品，通過 Iron Bank 白名單的項目將可以在無需抵押的情況下從 Cream 借入資產。 

詳細信息可以在這裡找到。

攻擊者首先進行 2 筆交易並將資產發送到 IronBank 以接收 cySUSD。接下來使用來自 Aave v2 的 flashloan，他繼續通過 Curve 將 USDC 轉換為 sUSD。

然後攻擊者將 sUSD 發送到 IronBank，允許他繼續借入、貸出和接收 cySUSD（部分 sUSD 用於支付交易費用）。此外，通過閃電貸借入了1000萬美元，並繼續用於增加cySUSD的數量。

最後，攻擊者擁有如此多的 cySUSD，以至於他可以從 Ironbank 借任何東西。

此時，攻擊者藉用：

• 13.2K WETH
• 360萬美元
• 560萬美元
• 4.2M 長

最後他：

• 將穩定幣存入 Aave V2。
• 1k ETH“慈善機構：回到 IronBank 和 Homora。
• 通過 Tornado Cash 洗錢（220 ETH）。
• 剩下的大約 11k ETH 在攻擊者的錢包地址中。

劇情開始！！

這次攻擊對 Cream Finance 造成了很大的破壞，但很快該項目在推特上表示他們的協議工作正常並且沒有被黑客入侵。

如果Cream不是受害者，那麼被攻擊的是誰？所有的目光都開始集中在 Alpha Finance 上，但該項目的處理步驟很快，並且僅在幾個小時後就為用戶提供了完全更新的信息。

來自 Alpha 的事件報告概述

1. 攻擊者使用 sUSD 作為抵押從 Cream 的 Ironbank 借入 ETH。
2. 攻擊者償還 sUSD 貸款。然而，由於 Alpha 產品中的一個錯誤，攻擊者可以通過此賺取少量金錢。
3. 重複直到該數字超過 7 個數字。
4. 此時 Alpha Homora 與 IronBank 有巨額債務，當然債務人已經逃跑了。
5. 他通過 Tornado Cash 洗錢，並將 1,000 ETH 返還給 Alpha 和 Cream。

注意：這不會導致 Cream 的貸方直接失去資產，而是從 Alpha Homora 承擔巨額債務。 

誰是受害者？

奶油和阿爾法，那麼誰是受害者？

參與襲擊的各方包括：

• Cream v2：同意與 Alpha Homora v2 進行合同級別的密集集成。
• Alpha Homora v2：在合約層面同意從 Cream v2 借入資產，無需抵押。
• Cream 上的貸方：當社區同意 Cream 和 Alpha 之間的密切合作協議時，這意味著貸方不僅向 Cream 用戶提供貸款，還向 Alpha Homora v2 用戶提供貸款。
• Alpha上的借款人：類似於 Alpha 上的借款人，不僅從 Alpha 借款，還從 Cream v2 借款。攻擊者屬於該組，被歸類為惡意借款人。

馬上：

• 從根本上說：Alpha Homora 欠奶油 v2。
• 深入研究：Cream 上貸方的資產被惡意借入。

綜上所述，Alpha應該是補償Cream損失的一方。但是，從技術角度來看，Cream 是負責保護貸方資產的一方。所以Alpha可以完全免除責任，取消合作，把壞賬留給Cream的用戶。

當然以現在的聲望和成功，Alpha做到這一點的能力非常低。但這次攻擊凸顯了 DeFi 中項目之間協作的現有問題。

結果

接下來有趣的是，雖然攻擊是通過阿爾法的契約進行的，但受害更大的是奶油。Cream 的 AUM（管理資產）在短短 1 天內從 7 億跌至 2 億，代幣價格下跌 30%。相比之下，Alpha 的 AUM 僅下降了 10%，代幣銷售量微不足道。

這種悖論的原因可能是：

1. 奶油是最先曝光的，所以恐慌性拋售對他們產生了強烈的影響。
2. Cream 的貸方意識到他們是遭受最大損失的人（除了代幣價格下跌之外，Alpha 用戶幾乎沒有遭受任何損失）。

甚至在遭受攻擊之前，向具有 x9 槓桿的市場貸款風險太大，Cream 的貸方越來越意識到這一點。

課

這些攻擊已經證明，DeFi 目前還很年輕，對用戶來說風險很大。審核非常耗時且昂貴，即使審核完成後，如果產品與口味不符，一切都會失敗。 

Alpha 審計了兩次，但仍然遭到黑客攻擊，攻擊非常複雜，開發人員和研究人員需要數小時才能了解問題的性質。 

上週 yDAI（1 Yearn's vault）被黑，開發團隊想出了一個解決方案，打開金庫來補償每個人的損失。然而，對於 Alpha，接受其代幣作為債務的市場太小，因此如果 Alpha 想要補償，則必須與貸方單獨達成協議。

從上述攻擊中，需要許多解決方案來確保項目和用戶的安全。一些建議包括：

1. 做自動化測試，不斷比較，保證算法的正確性。
2. 緩慢縮放 TVL 以確保每個階段的安全性，以盡可能降低損壞。

結語

風險和有效性之間的界限將越來越受到考驗，每一次攻擊都是 DeFi 走向成熟的一個教訓。

對於投資者自己來說，在參與項目之前，適當的資金配置和花時間了解系統是前提條件。另外，親眼目睹項目被攻擊後的決策和行動，也是一個很好的考驗，看看開發團隊是否真的對他們的產品充滿熱情。

“回報與風險齊頭並進”

參考鏈接：https ://defiweekly.substack.com/p/efab8b4a-5b1d-4d87-8a64-913070ec328f