Trong một trong những vụ khai thác lớn nhất của kỷ nguyên DeFi, sáng nay, một kẻ tấn công đã rút ruột thành công hơn 37 triệu đô la từ Alpha Homora bằng cách tận dụng nền tảng cho vay giao thức Iron Bank của Cream.
Alpha Finance Lab, nơi có giao thức đã được kiểm toán bởi Quantstamp và Peckshield, đã thông báo trên Twitter sáng nay rằng họ đã biết về một cuộc tấn công, rằng “lỗ hổng” cho phép nó đã được vá và nhóm có “nghi phạm chính”:
Kính gửi cộng đồng Alpha, chúng tôi đã được thông báo về việc khai thác trên Alpha Homora V2. Chúng tôi hiện đang làm việc với @AndreCronjeTech và @CreamdotFinance cùng nhau về điều này.
Kẽ hở đã được vá.
Chúng tôi đang trong quá trình điều tra quỹ bị đánh cắp và đã có một nghi phạm chính.
– Phòng thí nghiệm Tài chính Alpha (@AlphaFinanceLab) Ngày 13 tháng 2 năm 2021
Giao dịch từ việc khai thác là rất phức tạp. Kẻ tấn công đã sử dụng Alpha Homora để vay và cho vay nhiều lần với Ngân hàng Sắt, cho phép cho vay theo đòn bẩy. Một số nhà phân tích đã suy đoán rằng một “câu thần chú” giả mạo (thuật ngữ mang nhãn hiệu của Alpha cho hợp đồng thông minh) là thứ đã kích hoạt việc khai thác:
Hợp đồng đó là một câu thần chú Alpha Homora giả mạo, hệ thống của Alpha Homora nghĩ rằng đó là của chính họ;
“Hợp đồng” đó là “sở hữu” của Alpha pic.twitter.com/5OHlWh9Mi1
– Arrundai (@arrundai) Ngày 13 tháng 2 năm 2021
Việc khai thác “câu thần chú / hợp đồng giả” này lặp lại về mặt khái niệm cuộc tấn công “cái lọ độc ác” vào Pickle Finance đã thu về cho kẻ tấn công 20 triệu đô la vào cuối năm ngoái. Trong cả hai trường hợp, các giao thức bị khai thác đã phản ứng một cách sai lầm với các hợp đồng giả mạo.
Ngay sau khi khai thác thành công, kẻ tấn công đã “boa” cho những người triển khai Alpha và Iron Bank 1.000 Ether mỗi người, đồng thời quyên góp Gitcoin.
Cream Finance cho biết trong một tuyên bố trên Twitter rằng việc khai thác Ngân hàng Sắt không ảnh hưởng đến bất kỳ hợp đồng nào khác của họ và thị trường tiền tệ của họ đang hoạt động bình thường:
Các hợp đồng và thị trường CREAM đã được điều tra và nhận thấy vẫn hoạt động bình thường. Thị trường đã được kích hoạt lại trên cả V1 và V2.
Khám nghiệm tử thi để theo dõi.
– Cream Finance (@CreamdotFinance) Ngày 13 tháng 2 năm 2021
Giao thức Bailout?
Câu hỏi bây giờ chuyển sang cách người dùng sẽ được bồi thường trong trường hợp các giao thức không thể gây áp lực buộc “nghi phạm chính” của họ trả lại tiền.
Nhóm Yearn.Finance và MakerDAO đã thiết lập một tiền lệ với “DAO bảo lãnh các DAO” vào tuần trước khi MakerDAO cho phép tạo ra một vị thế nợ có thế chấp được xây dựng tùy chỉnh từ kho bạc mới đúc của Yearn.
Mặc dù quy mô khai thác lớn hơn mức 11 triệu đô la mà Yearn phải gánh chịu, một số người đã suy đoán rằng Alpha cũng sẽ in mã thông báo để bù đắp khoản lỗ – và một số nhà giao dịch và tổ chức đã định vị mình cho sự pha loãng như vậy.
Các nhà giám sát hoạt động của chuỗi Intrepid nhận thấy rằng Three Arrows Capital đã gửi hơn 3 triệu đô la token ALPHA đến Binance vào sáng nay, có thể với ý định bán:
Bán 3AC $ Alpha? Trời ơi.. pic.twitter.com/4xjlhZrIze
– Jason La Finance (@Raez_x) Ngày 13 tháng 2 năm 2021
Hiện tại, ALPHA, mã thông báo quản trị của giao thức bị lỗ, giảm 20% xuống còn 1,83 đô la; CREAM, mã thông báo quản trị của giao thức cho phép khai thác, giảm 16% xuống còn 222 đô la; AAVE, mã thông báo quản trị của giao thức mà người khai thác đã sử dụng cho một khoản vay nhanh, giảm 2% xuống còn 505 đô la.
.
