当前位置:首页区块链回顾alpha finance的3750万美元盗窃案,黑客掌握了内部信息

回顾alpha finance的3750万美元盗窃案,黑客掌握了内部信息

DeFi的黑暗艺术仍然是最有利可图的。

注:原文来自rekt

DEFI的黑暗艺术仍然是最有利可图的。

这是我们有史以来最戏剧性的故事之一。

一个虚假魔术、混乱和指责的故事导致了迄今为止**的WiFi黑客事件。

在一起复杂的诽谤欺诈案中,约有3750万美元被盗,该案利用多项交易突袭阿尔法金融(alpha finance)的金库,让许多人相信奶油的铁行受到了影响。

回顾alpha finance的3750万美元盗窃案,黑客掌握了内部信息

谋杀发生在一个有镜子的大厅里。DeFi协议日益交织的性质和攻击的复杂性使社区对谁是真正的受害者以及谁应该负责赔偿感到困惑。

攻击者的契约使代码“相信”自己的恶意契约是自己的,以操纵系统中的内部债务金额。

这是协议和攻击者之间的私人斗争。所使用的合同尚未公布或提供给用户,这意味着它们没有受到直接影响。我们还没见过如此明目张胆的内部犯罪。阿尔法金融公司很快指出,他们已经找到了一个“主要嫌疑人”。

如果契约还没有准备好,为什么要在主网络上部署它?

在混乱中,大公司迅速采取行动保护自己的资本。F从cream finance提取了价值4亿美元的FTT,three arrows capital向币安发送了价值300多万美元的alpha代币,可能只是为了出售这些代币。

与此攻击关联的所有代币的值都已下降。

1阿尔法霍马拉治理代币阿尔法从2.25美元跌至1.78美元。

2铁银治理代币霜从288.32美元跌至193.51美元。

3AAVE提供了此次攻击所需的闪电贷款功能,其治理代币从当天的518美元跌至492美元的低点。

然而,代币定价并不是故事中最有趣的方面。

回顾alpha finance的3750万美元盗窃案,黑客掌握了内部信息1

阿尔法金融团队发表了一份出色的调查报告,他们的发现令人惊叹。我们联合调查的结果表明,腐败的程度比预期的严重得多。

阿尔法金融(alphafinance)是否会披露他们的指控还有待观察,但他们最初关于有重大嫌疑的声明表明,影响即将到来。

从官方的调查报告中可以看出,攻击者需要知道以下信息才能实施攻击:

1homorabankv2为即将发布的版本部署了一个SUSD池,它既没有在UI上提供,也没有公开发布。

2SUSD贷款池中没有流动性,因此攻击者可以完全操纵和夸大债务总额和总债务份额;

3借用函数的计算存在舍入误差,只有攻击者是唯一的借用者时才会影响;

4reSOLvereserve函数可以添加totalde而不添加totalde份额。实际上,任何人都可以调用该函数来向储备池收取收入;

5Homora bankv2接受任何自定义咒语,只要不变量签出集合gt;借款(类似于年内保单的咒语);

在这么多用户的注视下,劫匪留下了清晰的线索。在一次罕见的反击中,受害者认出了袭击者。

上述要求证明,实施这一攻击需要内幕信息。然而,由于协议的范围和所涉及的审计事务所,内部人士可能有多种可能性。

雷克特不再从事指控的工作,但我们期待着看到阿尔法金融公司如何处理这种情况。

以下是alpha finance的表达方式:

1攻击者制造了一个邪恶的咒语(相当于一年的策略)https://ETHerscan.io/tx/0x2b419173c1f11e94e43afed15a46e3b3a109e118aba166fcca0ba583f686d23

2攻击者将ETH交换为uni,并向Uniswap池提供ETH+uni(获取ETH/uni LP代币)。在同一笔交易中,在Uniswap上交换ETH-gt;SUSD,并将SUSD存入奶油铁银行(获得cysusd)https://ETHerscan.io/tx/0x4441eefe434fbef9d9b3acb169e35eb7b3958763b74c5617b39034decd4dd3ad

3使用邪恶咒语调用execute to homorabankv2,执行:借入1000e18美元,将uni wet LP保存到wERC20,并在此过程中将其用作抵押品(绕过抵押品gt;借入支票),攻击者的债务份额为1000e18 SUSD(因为攻击者是第一个借款人)https://ETHerscan.io/tx/0xcc57ac77dc3953de7832162ea4cd925970e064ead3f6861ee40076aca8e7e571

4使用邪恶咒语再次调用execute to homorabankv2,执行:偿还10000098548938710983 SUSD(实际应计利息债务为10000098548938710984 SUSD),导致偿还份额比总份额少1。结果,攻击者现在有1美元债务和1份债务份额。https://ETHerscan.io/tx/0xf31ee9d9e83db3592601b854fe4f8b872cecd0ea2a3247c475eea8062a20dd41

5苏德银行准备金产生19709787742196笔债务,而totalshare仍为1。当前状态:totalde=19709787742197,totalshare=1https://ETHerscan.io/tx/0x98f623af655f1e27e1c04ffe0bc8c9bbdb35d399913床fe712d4058c67c0e;

6使用邪恶咒语再次调用execute to homorabankv2,execute(重复16次,每次借款金额翻倍):借入19709787742196美元并将其转移给攻击者(每次加倍,因为每次借款成功时总债务翻倍)。每笔借款小于债务总额1,相应的借款份额=0,因此本协议将其视为无债务借款。在交易结束时,攻击者将19.54 SUSD存入cream的铁银行。https://ETHerscan.io/tx/0x2e387620bb31c067efc878346742637d650843210596e770d4e2d601de5409e3

7继续这个过程:使用邪恶咒语再次调用execute到homorabankv2并执行(重复10次,每次加倍借款)。交易结束时,攻击者在cream’s Iron Bank存入1321 SUSD,https://ETHerscan.io/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4;

8通过AAVE的flash loan借入180万美元,然后将这180万美元兑换成1770757.562544721047906 SUSD,并存入cream中,使攻击者有足够的流动资金使用自定义法术贷款,并继续加倍SUSD贷款,从1322.70 SUSD到677223.15 SUSD(共10倍)。将1353123.59 SUSD更改为1374960.72 USDC,并从cream中借入426659.27 USDC(因为攻击者在步骤b中保存了SUSD)https://ETHerscan.io/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a3200c623f676b3912f9

9重复步骤8。这次大概1000万美元,https://ETHerscan.io/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e;

10重复1000万美元,https://ETHerscan.io/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57

11借入1324463美元+360万美元C+560万美元T+426万美元Dai,向AAVE提供稳定币(以获得atoken,因此美元C和美元T不能冻结),并向曲线a3crv池提供Adai、ASDT和ASDC,https://ETHerscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

12将a3crv LP代币添加到curve的流动性计量器https://ETHerscan.io/tx/0xc60bc6ab561af2a19ebc9e57b44b21774e489bb07f75cb367d69841b372fe896

13其余的交易将资金发送到tornado现金和gitcoin赠款,1000 ETH发送到cream和alpha的部署者地址。

回顾alpha finance的3750万美元盗窃案,黑客掌握了内部信息2

这个故事既独特又可疑。

当涉及到白帽子/黑帽子活动时,我们总是期望看到角色的变化,但很少看到受害者如此明确地谴责。

安德烈·克朗杰(Andre cronje)几周前促成了year与阿尔法·霍莫拉(alpha homora)的合作,他在书中写到了这次袭击:

“我花了一些时间研究这次攻击,9次交易,4次不同的操作,其中一次包括准确的债务计算,研究小组花了几个小时才搞清楚。Alpha立即采取措施缓解漏洞问题,并在发现问题后几分钟内解决了问题。”

班特格的答复是:

“这个事件**疯狂,没人能看合同,尤其是那些未申报的东西,都能找到这个。”

也许这将导致下一年的收购。在调查报告中,cronje的名字已经被提到四次了,这个模看起来真的很熟悉。。。

回顾alpha finance的3750万美元盗窃案,黑客掌握了内部信息3

匿名黑客的时代能持续多久?

由于潜在嫌疑犯的名单非常小,因此更容易排除和跟踪潜在的攻击者,在这种情况下,名单的范围甚至比平常更小。

“不要相信,验证”是一个伟大的口号时,处理代码,但它不能阻止日益增长的社会偏执。我们正在经历加密货币和WiFi空前增长的时期。在这个时期,不工作的代价非常高。DeFi开发者的精神负担正在增加。

帝国是建立在代码上的,金融的未来就在我们面前。

开发者在竞争中,而腐败的内部人帮助黑客在地下工作,在他们的基础上挖洞。

当一座塔倒塌时,其他的塔就开始观察和学习。在尘埃落定之前,人群已经开始向前移动,强队将重返赛场寻求更强的实力。

在不可避免的错误导致他们的匿名斗篷倒塌之前,他们还能坚持多久?

温馨提示:

文章标题:回顾alpha finance的3750万美元盗窃案,黑客掌握了内部信息

文章链接:https://www.btchangqing.cn/194115.html

更新时间:2021年02月14日

本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。

区块链行情

一年10次!比特币将在2020年创造历史。“一天挣一年工资”的最大受益者是谁?

2021-2-14 21:53:33

区块链

特斯拉大手笔加持 ,比特币迫近5万大关

2021-2-14 22:23:26

20 条回复 A文章作者 M管理员
  1. 龚燚

    哟西哟西

  2. 5045

    一起开空啊

  3. XIXIHAHA

    越来越多的企业购买比特币,稳健(???)

  4.   

    呵呵,找个机会…

  5. 宋

    币安网页版怎么打不开了,要翻墙吗,求一个链接

  6. 3730

    这货要跌到明年了

  7. 比特币频道

    已经被严重过度超标透支

  8. L

    真幸运区块链

  9. 币侠

    呵呵,支持一下哈比特币

  10. 作手蓝起

    不错,支持下

  11. 冠军

    前段时间买了12000我就跑

  12. sars

    除了eth,其他都没搞头

  13. Frank

    etf又不是第一次申请了,只不过空头作为打压比特币的借口而已

  14. ☞Wz☜

    现在到明年初应该会大涨起来

  15. 币圈花哥

    快加仓给我割一下

  16. 龚燚

    柚子不动啊

  17. Voice OfCoin

    [允悲][允悲][允悲]哭笑不得

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索