Несмотря на то, что «главный подозреваемый» был идентифицирован, как протокол станет целостным?
В ходе одного из крупнейших эксплойтов эпохи DeFi злоумышленник сегодня утром успешно вывел более 37 миллионов долларов из Alpha Homora, используя платформу межпротокольного кредитования Iron Bank.
Alpha Finance Lab, протокол которой был проверен Quantstamp и Peckshield, объявил в Твиттере сегодня утром, что им известно об атаке, что «лазейка», которая позволила сделать это, была исправлена, и что команда «главный подозреваемый»:
Уважаемое сообщество Alpha, мы получили уведомление об эксплойте на Alpha Homora V2. Сейчас мы вместе с @AndreCronjeTech и @CreamdotFinance работаем над этим. Брешь исправлена. Мы находимся в процессе расследования похищенного фонда, и у нас уже есть главный подозреваемый.
— Alpha Finance Lab (@AlphaFinanceLab) 13 февраля 2021 г.
Транзакция эксплойта особенно сложна. Злоумышленник использовал Alpha Homora для многократных заимствований и ссуд в Iron Bank, что позволяет осуществлять кредитование с использованием заемных средств. Некоторые аналитики предположили, что фальшивое «заклинание» (фирменный термин Alpha для интеллектуального контракта) — это то, что позволило использовать эксплойт:
Этот контракт является фальшивым заклинанием Alpha Homora , Система Alpha Homora думала, что это один из их собственных; Этот «контракт»; принадлежит & quot; Автор Alpha pic.twitter.com/5OHlWh9Mi1
— Аррундай (@arrundai) 13 февраля 2021 г.
Этот эксплойт «поддельное заклинание / контракт» концептуально перекликается с атакой «злой банки» на Pickle Finance, которая в конце прошлого года принесла злоумышленнику 20 миллионов долларов. В обоих случаях использованные протоколы ошибочно реагировали на фальшивые контракты.
Вскоре после успешного эксплойта злоумышленник «дал чаевые» установщикам Alpha и Iron Bank по 1000 эфиров каждому, а также сделал пожертвование Gitcoin.
Cream Finance сообщила в своем заявлении в Твиттере, что эксплойт Iron Bank не повлиял ни на один из их других контрактов, и что их денежные рынки работали нормально:
СЛИВКИ контракты и рынки были исследованы, и было установлено, что они функционируют нормально. Рынки были снова активированы в версиях V1 и V2. Последующее вскрытие.
— Cream Finance (@CreamdotFinance) 13 февраля 2021 г.
Отказ от протокола?
Теперь вопрос обращается к тому, как пользователи будут получать компенсацию в случае, если протоколы не смогут заставить их «главного подозреваемого» вернуть средства.
Команда Yearn.Finance и MakerDAO на прошлой неделе создали прецедент: «DAO спасают DAO», когда MakerDAO разрешил создание специально созданной позиции обеспеченного долга из недавно созданного казначейства Yearn.
Несмотря на то, что размер эксплойта превышает 11 миллионов долларов, понесенных Yearn, некоторые предполагают, что Alpha также будет печатать токены, чтобы покрыть убыток — и некоторые трейдеры и организации уже подготовили себя для такого разбавления.
Бесстрашные наблюдатели за активностью сети заметили, что компания Three Arrows Capital сегодня утром отправила Binance более 3 миллионов долларов в токенах ALPHA, возможно, с целью продажи:
3AC продает $ Alpha? О, чувак .. pic.twitter.com/4xjlhZrIze
— Джейсон Ла Финанс (@Raez_x) 13 февраля 2021 г.
В настоящее время стоимость ALPHA, управляющего токена протокола, понесшего убытки, снизилась на 20% до 1,83 доллара США; CREAM, токен управления протоколом, который включил эксплойт, упал на 16% до 222 долларов; AAVE, токен управления протокола, который злоумышленник использовал для получения срочной ссуды, упал на 2% до 505 долларов.
