في واحدة من أكبر عمليات الاستغلال للتمويل اللامركزي، نجح أحد المهاجمين هذا الصباح في استنزاف أكثر من ٣٧ مليون دولار من ألفا هومورا من خلال الاستفادة من منصة إقراض البروتوكولات أيرون بنك التابعة لكريم.
أعلن ألفا فاينانس بنك، الذي تم تدقيق بروتوكوله بواسطة كوانتستامبت وبيكشيلد، على تويتر هذا الصباح أنهم كانوا على علم بالهجوم، وأن "الثغرة" التي سمحت به قد تم تصحيحها، وأن الفريق كان لديه "مشتبه رئيسي":
Dear Alpha community, we've been notified of an exploit on Alpha Homora V2. We're now working with @AndreCronjeTech and @CreamdotFinance together on this.
— Alpha Finance Lab (@AlphaFinanceLab) February 13, 2021
The loophole has been patched.
We're in the process of investigating the stolen fund, and have a prime suspect already.
إن المعاملة من الاستغلال معقدة بشكل ملحوظ. فقد استخدم المهاجم ألفا هومورا للاقتراض والإقراض بشكل متكرر مع أيرون بنك، والذي يسمح بالإقراض بالرافعة المالية. وقد تكهن بعض المحللين بأن "التعويذة" المزيفة (المصطلح الخاص بألفا للعقد الذكي) هو ما مكّن الثغرة:
That contract is a faked Alpha Homora spell, Alpha Homora's system thought it was one of their own;
— Arrundai (@arrundai) February 13, 2021
That "contract" is "owned" by Alpha pic.twitter.com/5OHlWh9Mi1
يشبه استغلال "التعويذة/العقد المزيف" من الناحية المفاهيمية هجوم "الوعاء الشرير" على شركة بيكل فاينانس الذي حصد المهاجم ٢٠ من خلاله مليون دولار في أواخر العام الماضي. وفي كلتا الحالتين، استجابت البروتوكولات المستغلة بشكل خاطئ للعقود المزيفة.
فبعد فترة وجيزة من الاستغلال الناجح، قام المهاجم "بمنح" كلٍ من ناشري شركة ألفا وأيرون بنك ١٠٠٠ إيثريوم لكل منهم، كما قدم أيضًا تبرعًا لشركة غيتكوين.وقد صرحت شركة كريم فاينانس في بيان على تويتر إن استغلال أيرون بنك لم يؤثر على أي من عقودهم الأخرى، وأن أسواقهم المالية تعمل بشكل طبيعي:
C.R.E.A.M. contracts and markets were investigated and found to be functioning as normal. Markets have been re-enabled across both V1 and V2.
— Cream Finance (@CreamdotFinance) February 13, 2021
Post mortem to follow.
إنقاذ البروتوكول؟
يتحول السؤال الآن إلى كيفية تعويض المستخدمين في حالة عدم قدرة البروتوكولات على الضغط على "المشتبه به الرئيسي" لإعادة الأموال.
وقد وضع فريق واي إيرن.فاينانس وميكر داو سابقة مع قيام "لمنظمات اللامركزية المستقلة بإنقاذ بعضها" الأسبوع الماضي عندما سمحت ميكر داو بإنشاء مركز دين مضمون مخصص من خزانة واي إيرن التي تم سكها حديثًا.
وفي حين أن حجم الاستغلال أكبر من سرقة ١١ مليون دولار التي عانت منها واي إيرن، فقد تكهن البعض بأن ألفا ستطبع أيضًا التوكنات لتغطية الخسارة - وقد وضع بعض المتداولين والمؤسسات أنفسهم بالفعل لمثل هذا التخفيف.لاحظ مراقبو سلسلة إنتربيد أن شركة ثري أروز كابيتال أرسلت أكثر من ٣ ملايين دولار في توكات ألفا إلى باينانس هذا الصباح، ربما بقصد البيع:
3AC selling $Alpha? Oh man.. pic.twitter.com/4xjlhZrIze
— Jason La Finance (@Raez_x) February 13, 2021
حاليًا، انخفض ALPHA، توكن الحوكمة للبروتوكول الذي عانى من الخسائر، بنسبة ٢٠٪ ليصل إلى ١,٨٣ دولار؛ وانخفض CREAM، وهو توكن الحوكمة للبروتوكول الذي مكّن من الاستغلال، بنسبة ١٦٪ إلى ٢٢٢ دولارًا؛ بينما انخفض AAVE، وهو توكن الحوكمة الخاص بالبروتوكول الذي استخدمه المستغل للحصول على قرض سريع، بنسبة ٢٪ إلى ٥٠٥ دولارات.