في واحدة من أكبر مآثر عصر DeFi ، نجح أحد المهاجمين هذا الصباح في استنزاف أكثر من 37 مليون دولار من Alpha Homora من خلال الاستفادة من منصة إقراض بروتوكول Iron Bank الخاصة بـ Iron Bank.
أعلن Alpha Finance Lab ، الذي تم تدقيق بروتوكوله بواسطة Quantstamp و Peckshield ، على تويتر هذا الصباح أنهم كانوا على علم بهجوم ، وأن “الثغرة” التي سمحت به قد تم تصحيحها ، وأن الفريق كان لديه “مشتبه رئيسي”:
عزيزي مجتمع Alpha ، تم إعلامنا بحدوث استغلال على Alpha Homora V2. نحن نعمل الآن مع تضمين التغريدة و تضمين التغريدة معا على هذا.
تم ترقيع الثغرة.
نحن بصدد التحقيق في الأموال المسروقة ولدينا مشتبه به رئيسي بالفعل.
– معمل ألفا للتمويل (AlphaFinanceLab) 13 فبراير 2021
المعاملة من الاستغلال معقدة بشكل ملحوظ. استخدم المهاجم Alpha Homora للاقتراض والإقراض بشكل متكرر مع Iron Bank ، مما يسمح بالإقراض بالرافعة المالية. تكهن بعض المحللين بأن “التعويذة” المزيفة (المصطلح الذي يحمل علامة ألفا التجارية للعقد الذكي) هو ما مكّن الثغرة:
هذا العقد عبارة عن تعويذة مزيفة لألفا هومورا ، اعتقد نظام ألفا هومورا أنه واحد خاص بهم ؛
هذا “العقد” “مملوك” لشركة Alpha pic.twitter.com/5OHlWh9Mi1
– أرونداي (arrundai) 13 فبراير 2021
يعكس استغلال “التعويذة / العقد المزيف” من الناحية المفاهيمية هجوم “الجرة الشريرة” على شركة Pickle Finance التي حصد المهاجم 20 مليون دولار في أواخر العام الماضي. في كلتا الحالتين ، استجابت البروتوكولات المستغلة بشكل خاطئ للعقود المزيفة.
بعد فترة وجيزة من الاستغلال الناجح ، قام المهاجم “بإخطار” كل من شركة Alpha و Iron Bank التي تنشر 1000 إيثر لكل منهما ، كما قدم أيضًا تبرعًا لشركة Gitcoin.
وقالت شركة كريم فاينانس في بيان على تويتر إن استغلال Iron Bank لم يؤثر على أي من عقودهم الأخرى ، وأن أسواقهم المالية كانت تعمل بشكل طبيعي:
تم التحقيق في عقود كريم وأسواقه وتبين أنها تعمل كالمعتاد. تمت إعادة تمكين الأسواق عبر V1 و V2.
بعد الوفاة لمتابعة.
– كريم التمويل (CreamdotFinance) 13 فبراير 2021
بروتوكول الإنقاذ؟
يتحول السؤال الآن إلى كيفية تعويض المستخدمين في حالة عدم تمكن البروتوكولات من الضغط على “المشتبه به الرئيسي” لإعادة الأموال.
وضع فريق Yearn.Finance و MakerDAO سابقة مع “DAOs بإنقاذ DAOs” الأسبوع الماضي عندما سمحت MakerDAO بإنشاء مركز دين مضمون مخصص من خزانة Yearn التي تم سكها حديثًا.
في حين أن حجم الاستغلال أكبر من 11 مليون دولار عانى منها Yearn ، فقد تكهن البعض بأن Alpha ستطبع أيضًا الرموز المميزة لتغطية الخسارة – وقد وضع بعض المتداولين والمؤسسات أنفسهم بالفعل لمثل هذا التخفيف.
لاحظ مراقبو سلسلة Intrepid أن شركة Three Arrows Capital أرسلت أكثر من 3 ملايين دولار في رموز ALPHA إلى Binance هذا الصباح ، ربما بقصد بيع:
3AC بيع ألفا دولار؟ يا رجل.. pic.twitter.com/4xjlhZrIze
– جايسون لا فاينانس (Raez_x) 13 فبراير 2021
حاليًا ، انخفض ALPHA ، رمز الحوكمة للبروتوكول الذي عانى من الخسائر ، بنسبة 20 ٪ ليصل إلى 1.83 دولار ؛ انخفض CREAM ، رمز الحوكمة للبروتوكول الذي مكّن من الاستغلال ، بنسبة 16٪ إلى 222 دولارًا ؛ انخفض AAVE ، رمز الحوكمة الخاص بالبروتوكول الذي استخدمه المستغل للحصول على قرض سريع ، بنسبة 2٪ إلى 505 دولارات.
