DeFi projekty jsou v popředí zájmu mnoha investorů, neboť často dosahují velmi zajímavých zisků. Na druhou stranu jsou také častým cílem útočníků. Během posledního útoku na protokoly Cream Finance a Alpha Finance si zatím neznámý útočník přišel v přepočtu na 37,5 milionů dolarů.
Zatím neznámý útočník zacílil na dva DeFi protokoly Cream Finance a Alpha Finance a podařilo se mu během útoku získat v přepočtu 37.5 milionů dolarů.
Další DeFi Exploit
DeFi prostor zažil další útok. Tentokrát byly ovlivněny protokoly DeFi Cream Finance a Alpha Finance. Ačkoli zatím nebyly zveřejněny všechny podrobnosti, zdá se, že došlo ke zneužití smart kontraktu Alpha Finance.
Tým, stojící za Cream Finance, potvrdil, že vyšetřují „potenciální zneužití“ v časných ranních hodinách na Twitteru. Následovalo oznámení, že jejich inteligentní smlouvy „fungovaly jako obvykle“.
C.R.E.A.M. contracts and markets were investigated and found to be functioning as normal. Markets have been re-enabled across both V1 and V2.
Post mortem to follow.
— Cream Finance 🍦 (@CreamdotFinance) February 13, 2021
Vývojáři Alpha Finance poté zveřejnili své vlastní oznámení, přičemž jako hlavní příčinu označili produkt Alpha Homora V2. Potvrdili, že spolupracují s Andrejem Cronjem a týmem Cream Finance na vyšetřování incidentu a že chyba již byla odstraněna. Rovněž uvedli, že „mají podezření na možného útočníka“.
Dear Alpha community, we've been notified of an exploit on Alpha Homora V2. We're now working with @AndreCronjeTech and @CreamdotFinance together on this.
The loophole has been patched.
We're in the process of investigating the stolen fund, and have a prime suspect already.
— Alpha Finance Lab (@AlphaFinanceLab) February 13, 2021
Půjčky z Alpha Homora V2 byly také pozastaveny.
Data ze stránky Etherscan ukazují, že zcizené prostředky mají hodnotu více než 37,5 milionů dolarů. Velkou část z této sumy představovala půjčka 13 244 ETH.
Útok byl dobře připravený
Z dostupných dat vyplývá, že za útokem stojí pachatel(é), který se velmi dobře vyzná v oblasti DeFi. Útok byl proveden složitým vícestupňovým procesem, kdy k zapůjčení sUSD byl použit protokol Alpha Homora, který integruje Cream.
Poté byly tyto prostředky půjčeny zpět do Iron Bank, aby útočník získal cySUSD. Během toho došlo ke zneužití flash loans (bleskové půjčky) od Aave, aby zvýšil svůj podíl na cySUSD. Díky tomu si dokázal ve výsledku půjčit 13 244 ETH, DAI v hodnotě 4 263 139 USD, USDC v hodnotě 3 997 921 USD a navrch ještě USDT v hodnotě 5 647 242 USD.
Některé z takto získaných prostředků byly vloženy do Aave, 1 000 ETH do Iron Bank a Alpha Homora a 320 ETH bylo posláno do Tornado.cash. V peněžence tak zbývá necelých 10 925 ETH v hodnotě zhruba 20 milionů dolarů. Toto vše bylo provedeno za transakční poplatek 0,67 ETH, což je v přepočtu něco kolem 1 275 USD.
Trh na zprávu ihned zareagoval a nativní tokeny společností Cream Finance a Alpha Finance čekalo oslabení. Cena tokenu ALPHA poklesla o 22,6 procent a obchodoval se za 1,78 USD a CREAM propadl z ceny 285 USD až na 173 $.
Závěr
Společnosti Cream Finance i Alpha Finance potvrdily, že budou i nadále sdílet zprávy ohledně posunu ve vyšetřování a pohybu zcizených prostředků. Je nanejvýš vhodné si uvědomit, že Cream Finance a Alpha Finance patří mezi jedny z předních protokolů DeFi a tento útok velmi dobře ilustruje, že oblast DeFi je stále na začátku a o chyby a zneužití prostředků zde není nouze. DeFi sice často nabízí pohádkové zisky, ale také velmi děravé protokoly.
