风险提示:请理性看待区块链,树立正确的货币观念和投资理念,不要盲目跟风投资,本站内容不构成投资建议,请谨慎对待。 免责声明:本站所发布文章仅代表个人观点,与CoinVoice官方立场无关

Alpha Finance被盗3750万美元事件回顾,黑客掌握了内部信息

巴比特资讯
2021年02月15日

DeFi 的黑暗艺术仍然是最有利可图的。

下面是我们至今遇到过最具戏剧性的故事之一。

一个虚假魔术,混乱及指控的故事,导致了迄今为止最大的 DeFi 黑客事件。

大约有 3750 万美元资金在一起复杂的 DeFi 欺骗案中被盗,这次攻击利用了多笔交易来突袭 Alpha Finance 的金库,同时让很多人相信是 Cream 的铁金库(Iron Bank)受到了影响。

Alpha Finance被盗3750万美元事件回顾,黑客掌握了内部信息

这起谋杀案发生在一个有镜子的大厅里,DeFi 协议日益交织的性质,加上攻击的复杂性,使得社区对谁是真正的受害者,以及谁该负责赔偿感到困惑。

攻击者的合约导致 Homora 代码「相信」他们的恶意合约是他们自己的,目的是操纵系统中的内部债务数量。

这是协议和攻击者之间的一场私人战斗。被利用的合约尚未被公布,也未提供给用户,这意味着他们没有受到直接影响。我们还没有看到过这样一个明目张胆的内部作案,Alpha Finance 很快指出,他们找到了一个「主要嫌疑人」。

如果合约还没有准备好,为什么还要部署在主网上?

在混乱中,大玩家迅速采取行动来保护自己的资本。SBF 从 Cream Finance 中提取了价值 4 亿美元的 FTT,三箭资本(Three Arrows Capital)则向币安发送了价值 300 多万美元的 ALPHA 代币,其唯一目的可能是出售掉它们。

与这次攻击相关的所有代币的价值均出现了下降。

  • Alpha Homora 治理令牌 ALPHA 从 2.25 美元跌至 1.78 美元。

  • Iron Bank 治理代币 CREAM 从 288.32 美元跌至 193.51 美元。

  • AAVE,其提供了这次攻击所需的闪电贷功能,它的治理代币从当天的 518 美元跌至 492 美元的低点。

然而,代币定价并不是这个故事中最有趣的方面。

Alpha Finance被盗3750万美元事件回顾,黑客掌握了内部信息

事件回顾

Alpha Finance 团队发布了一篇出色的调查报告,而他们的发现是惊人的。我们联合调查的结果表明,腐败的程度比预期的要严重得多。

Alpha Finance 是否会公开他们的指控还有待观察,但他们最初关于有主要嫌疑人的声明表明,影响正在到来。

从官方调查报告来看,我们可以看出,攻击者需要知道以下信息才能实施攻击:

  • HomoraBankv2 为即将发布的版本部署了一个 sUSD 池子,这一版本既没有在 UI 上提供,也没有公开发布。

  • sUSD 借贷池中没有流动性,因此攻击者可以完全操纵和夸大总债务金额和总债务份额;

  • 借用函数计算中存在舍入错误计算,仅当攻击者是唯一借用者时才会产生影响;

  • resolveReserve 函数可以在不增加 totalDebtShare 的情况下增加 totalDebt,而实际上任何人都可以调用用于将收入收集到储备池的函数;

  • HomoraBankv2 接受任何自定义 spell,只要不变量检查出 collateral>borrow (类似于 Yearn 中策略的 spell);

在这么多用户的注视下,抢劫者留下了清晰的线索,在罕见的反击行动中,受害者将袭击者挑了出来。

上述要求证明,实施这一攻击需要内幕信息。然而,由于涉及协议和审计公司的范围,内幕人士可能有多个可能。

rekt 不再是在做指控的生意,但我们期待着看到 Alpha Finance 如何处理这种情况。

以下是 Alpha Finance 表述的经过:

Alpha Finance被盗3750万美元事件回顾,黑客掌握了内部信息

这个故事很独特,也令人生疑。

当涉及到白帽子 / 黑帽子的活动时,我们总是期待看到角色转换,但是我们很少看到受害者如此清楚地指责。

几周前促成 Yearn 和 Alpha Homora 合作的 Andre Cronje 在谈到这次攻击时写道:

「花点时间研究了这次攻击,9 笔交易,4 种不同的操纵,其中一种包括精确的债务计算,这需要研究团队花费数小时才能弄清楚,Alpha 立即采取了措施来缓解漏洞问题,在发现该问题后的几分钟内就解决了它。」

而 Banteg 的回复是:

「这个事件绝对是疯狂的,不可能有人随便看看合约,尤其是那些未经宣布的东西,就能发现这一点。」

也许这会导致另一起 Yearn 收购案,Cronje 的名字在调查报告中被提到了 4 次,而且这个模式看起来确实很熟悉。

Alpha Finance被盗3750万美元事件回顾,黑客掌握了内部信息

匿名黑客的时代还能持续多久?

由于可能的嫌疑犯名单非常小,因此更容易排除和追踪潜在的攻击者,在这种情况下,名单范围甚至比平常更小。

在处理代码时,「Don’t trust, verify」是一句极好的口号,但它并不能阻止日益增长的社会偏执症。我们正经历一个加密货币和 DeFi 前所未有的增长时期,在这个时期,不工作的成本是非常高的。DeFi 开发者的精神负担与日俱增。

帝国是建立在代码行之上的,金融的未来就在我们眼前。

开发人员陷入了竞争,而腐败的内部人员则帮助黑客在地下工作,在他们的基础上挖洞。

当一座塔倒塌时,其他的塔都会看着并学习。在尘埃落定之前,人群已经开始前进,而坚韧的的团队会重返赛场,以寻求更强的实力。

在不可避免的错误导致他们的匿名斗篷掉下之前,他们还能维持多长时间?


声明:本内容为作者独立观点,不代表 CoinVoice 立场,且不构成投资建议,请谨慎对待,如需报道或加入交流群,请联系微信:VOICE-V。

来源:巴比特资讯
#区块链

评论0条

巴比特资讯

简介:服务于区块链创新者