Cream Finance i Alpha Finance padły ofiarą ataku hakerskiego

Dziś rano hakerzy zaatakowali protokoły DeFi Cream Finance i Alpha Finance. Łącznie udało im się wyprowadzić 37,5 mln USD.

Kolejny atak na DeFi

Przestrzeń DeFi po raz kolejny została zaatakowana przez hakerów. Tym razem ucierpiały protokoły Cream Finance i Alpha Finance. Choć nie znamy jeszcze wszystkich szczegółów, wygląda na to, że błąd tkwił w smart kontraktach Alpha Finance.

We are aware of a potential exploit and are looking into this. Thank you for your support as we investigate.

— Cream Finance ? (@CreamdotFinance) February 13, 2021

Zespół Cream potwierdził dziś rano na Twitterze, że bada “potencjalny atak”. Później dodał jednak, że jego kontrakty “funkcjonują normalnie”.

C.R.E.A.M. contracts and markets were investigated and found to be functioning as normal. Markets have been re-enabled across both V1 and V2.

Post mortem to follow.

— Cream Finance ? (@CreamdotFinance) February 13, 2021

Następnie Alpha Finance opublikowała własne oświadczenie, wskazując jako przyczynę produkt Alpha Homora V2 . Zespół dodał, że wraz z Andre Cronje i Cream Finance pracują nad zbadaniem incydentu, i że luka została już naprawiona. Protokół twierdzi też, że wytypował “głównego podejrzanego”.

Dear Alpha community, we’ve been notified of an exploit on Alpha Homora V2. We’re now working with @AndreCronjeTech and @CreamdotFinance together on this.

The loophole has been patched.

We’re in the process of investigating the stolen fund, and have a prime suspect already.

— Alpha Finance Lab (@AlphaFinanceLab) February 13, 2021

Jak został przeprowadzony atak?

Póki co zostały wstrzymane pożyczki z Alpha Homora V2. Z transakcji Etherscan wynika, że wartość przeprowadzonego ataku wyniosła ponad 37,5 miliona dolarów. Sporą część tej sumy stanowiła pożyczka w wysokości 13 244 ETH.

Atak został przeprowadzony za pomocą złożonego, wieloetapowego procesu, który sugeruje, że sprawca był doświadczonym użytkownikiem DeFi. Wykorzystał on Alpha Homora, który integruje Cream, aby pożyczyć SUSD. Następnie pożyczył te fundusze z powrotem do Iron Bank, aby otrzymać cySUSD. Co więcej napastnik zaciągnął również duże pożyczki flash od Aave. Dzięki temu haker pożyczył łącznie 13 244 ETH, 4 263 139 DAI, 3 997 921 USDC i 5 647 242 USDT.

Część środków zdeponowano do Aave, 1 000 ETH do Iron Bank i Alpha Homora, a 320 ETH do Tornado.cash. Oznacza to, że portfelu hakera zostało mniej niż 10 925 ETH (ok. 20 milionów dolarów). Co ciekawe napastnik zrobił to wszystko z opłatą transakcyjną w wysokości 0,67 ETH, czyli około 1 274 dolarów.

Rodzime tokeny zarówno Cream Finance, jak i Alpha Finance gwałtownie spadły po tych wiadomościach. Szczególnie mocno ucierpiała ALPHA – w momencie pisania tego tekstu jej wartość spadła o 22,6% i wynosi 1,78 USD.

Pełne szczegóły dotyczące ataku nie zostały jeszcze ujawnione. Zarówno Cream Finance jak i Alpha Finance potwierdziły, że wkrótce podzielą się raportami.

Cream Finance i Alpha Finance są dwoma wiodącymi protokołami DeFi. Atak jest kolejnym przypadkiem, który pokazuje, że DeFi jest wciąż w fazie rozwoju. W związku z tym, eksperymentowanie z tą technologią jest wysoce ryzykowne.