Alpha Homora теряет 37 миллионов долларов из-за взлома Iron Bank

Этим утром злоумышленник успешно вывел более 37 миллионов долларов из Alpha Homora, используя платформу межпротокольного кредитования Cream Iron Bank, что является одним из крупнейших эксплойтов эпохи DeFi.

Alpha Finance Lab, протокол которой был проверен Quantstamp и Peckshield, объявил в Твиттере сегодня утром, что им известно об атаке, что «лазейка», которая позволила сделать это, была исправлена, и что у команды есть «главный подозреваемый»:

Уважаемое сообщество Alpha, мы получили уведомление об эксплойте на Alpha Homora V2.Сейчас мы вместе с @AndreCronjeTech и @CreamdotFinance работаем над этим.Лазейка заделана.Мы находимся в процессе расследования украденного фонда, и у нас уже есть главный подозреваемый.

— Alpha Finance Lab (@AlphaFinanceLab) February 13, 2021

https://platform.twitter.com/widgets.js

Транзакция от эксплойта особенно сложна.Злоумышленник использовал Alpha Homora для многократных заимствований и ссуд в Iron Bank, что позволяет осуществлять кредитование с использованием заемных средств.Некоторые аналитики предположили, что фальшивое «заклинание» (фирменный термин Alpha для смарт-контракта) – это то, что позволило использовать эксплойт:

Этот контракт является фальшивым заклинанием Альфа Хомора, система Альфа Хомора считала его своим собственным;Этот «контракт» «принадлежит» Альфе pic.twitter.com/5OHlWh9Mi1

— Arrundai (@arrundai) February 13, 2021

https://platform.twitter.com/widgets.js

Этот эксплойт «поддельное заклинание/контракт» концептуально перекликается с атакой «злой банки» на Pickle Finance, которая в конце прошлого года принесла злоумышленнику 20 миллионов долларов.В обоих случаях использованные протоколы ошибочно реагировали на фальшивые контракты.

Вскоре после успешного эксплойта злоумышленник «дал чаевые» развернувшим Alpha и Iron Bank по 1000 эфиров каждому, а также сделал пожертвование Gitcoin.

Cream Finance заявила в своем заявлении в Twitter, что эксплойт Iron Bank не повлиял ни на один из их других контрактов, и что их денежные рынки функционируют нормально:

Контракты и рынки CREAM были исследованы, и было установлено, что они функционируют нормально.Рынки были снова активированы в версиях V1 и V2.Последующее вскрытие.

— Cream Finance (@CreamdotFinance) February 13, 2021

https://platform.twitter.com/widgets.js

Protocol Bailout?

Теперь вопрос заключается в том, как пользователи получат компенсацию в случае, если протоколы не смогут заставить их «главного подозреваемого» вернуть средства.

Команда Yearn.Finance и MakerDAO на прошлой неделе создали прецедент, когда «DAO спасают DAO», когда MakerDAO разрешил создание специально созданной позиции обеспеченного долга из недавно созданного казначейства Yearn.

Несмотря на то, что размер эксплойта превышает размер пожертвований в размере 11 миллионов долларов, некоторые предполагают, что Alpha также будет печатать токены, чтобы покрыть убытки – и некоторые трейдеры и учреждения уже подготовили себя для такого разбавления.

Наблюдатели за деятельностью сети Intrepid заметили, что Three Arrows Capital сегодня утром отправили Binance токенами ALPHA на сумму более 3 миллионов долларов, возможно, с намерением продать:

3AC продает $Alpha?О, чувак .. pic.twitter.com/4xjlhZrIze

— Jason La Finance (@Raez_x) February 13, 2021

https://platform.twitter.com/widgets.js

В настоящее время ALPHA, управляющий токен протокола, понесший убытки, упал на 20% до 1,83 доллара;CREAM, токен управления протоколом, который включил эксплойт, упал на 16% до 222 долларов;AAVE, токен управления протокола, который злоумышленник использовал для получения мгновенного кредита, снизился на 2% до 505 долларов.