Em uma das maiores façanhas da era DeFi, esta manhã um invasor drenou com sucesso mais de US $ 37 milhões de Alpha Homora aproveitando a plataforma de empréstimo do Iron Bank do Cream.
O Alpha Finance Lab, cujo protocolo foi auditado por Quantstamp e Peckshield, anunciou no Twitter esta manhã que estava ciente de um ataque, que a "brecha" que o permitia havia sido corrigida e que a equipe tinha um "principal suspeito":
Prezada comunidade Alpha, fomos notificados sobre um exploit no Alpha Homora V2. Agora estamos trabalhando com @AndreCronjeTech e @CreamdotFinance nisso.
- Alpha Finance Lab (@AlphaFinanceLab) 13 de fevereiro de 2021
A brecha foi corrigida.
Estamos investigando o fundo roubado e já temos um dos principais suspeitos.
A transação da exploração é notavelmente complexa . O invasor usou Alpha Homora para pedir emprestado e emprestar repetidamente com o Iron Bank, o que permite empréstimos alavancados. Alguns analistas especularam que um "feitiço" falso (termo da marca Alpha para um contrato inteligente) é o que permitiu a exploração:
Esse contrato é um feitiço de Alpha Homora falsificado, o sistema de Alpha Homora pensava que era um dos seus;
- Arrundai (@arrundai) 13 de fevereiro de 2021
Esse "contrato" é "propriedade" de Alpha pic.twitter.com/5OHlWh9Mi1
Essa exploração de “feitiço / contrato falso” ecoa conceitualmente o ataque do “jarro do mal” à Pickle Finance que rendeu a um invasor US $ 20 milhões no ano passado. Em ambos os casos, os protocolos explorados responderam erroneamente a contratos falsos.
Logo após o exploit bem-sucedido, o invasor “avisou” os implantadores Alpha e Iron Bank de 1.000 Ether cada, e também fez uma doação de Gitcoin.
A Cream Finance disse em um comunicado no Twitter que a exploração do Iron Bank não afetou nenhum de seus outros contratos e que seus mercados financeiros estavam funcionando normalmente:
Os contratos e mercados CREAM foram investigados e considerados funcionando normalmente. Os mercados foram reativados em V1 e V2.
- Cream Finance (@CreamdotFinance) 13 de fevereiro de 2021
Post mortem a seguir.
Resgate de protocolo?
A questão agora é como os usuários serão compensados caso os protocolos não possam pressionar seu “principal suspeito” a devolver os fundos.
A equipe Yearn.Finance e a MakerDAO estabeleceram um precedente com “DAOs resgatando DAOs” na semana passada, quando a MakerDAO permitiu a criação de uma posição de dívida colateralizada customizada do tesouro recém-cunhado de Yearn.
Embora o tamanho da exploração seja maior do que os US $ 11 milhões sofridos por Yearn, alguns especularam que a Alpha também imprimirá tokens para cobrir a perda - e alguns comerciantes e instituições já se posicionaram para tal diluição.
Monitores de atividade da cadeia notaram que a Three Arrows Capital enviou mais de US $ 3 milhões em tokens ALPHA para a Binance esta manhã, possivelmente com a intenção de vender:
3AC vendendo $ Alpha ? Oh cara .. pic.twitter.com/4xjlhZrIze
- Jason La Finance (@Raez_x) 13 de fevereiro de 2021
Atualmente, o ALPHA, o símbolo de governança do protocolo que sofreu as perdas, caiu 20%, para US $ 1,83; CREAM, o token de governança do protocolo que habilitou a exploração, caiu 16%, para $ 222; AAVE, o token de governança do protocolo que o explorador usou para um empréstimo rápido, caiu 2% para US $ 505.
LEIA MAIS
- Felix Weis comprova funcionamento de ATM de Bitcoin na Lightning Network durante Lightning Hackton em Hong Kong
- Áustria usará blockchain público do Ethereum para emitir US $ 1,35 bilhões em títulos do governo
- Plataforma em blockchain do Governo brasileiro vira referência de segurança nos EUA em programa de combate ao terrorismo