比特币行情·比特币价格
Ctrl+D收藏比特币行情网
ads

AlphaFinance被盗3750万美元事件回顾,黑客掌握了内部信息

作者:

时间:2021/2/14 11:09:51

AlphaFinance被盗3750万美元事件回顾,黑客掌握了内部信息。

DeFi暗黑艺术仍是最赚钱的。

以下是我们迄今为止遇到过最戏剧性的故事之一。

虚假魔术、混乱和指控的故事,引起了迄今为止最大的DeFi黑客事件。

约3750万美元的资金在复杂的DeFi欺诈事件中被盗,这次的攻击利用很多交易袭击了Alpha的Finance的金库,相信很多人都是Cream的铁金库。

杀人案发生在一个有镜子的厅堂,DeFi协议的性质日益交织,再加上攻击的复杂性,让社区对谁才是真正的受害者,谁负责赔偿感到困惑。

攻击者的合同使Homora代码相信他们的恶意合同是自己的,目的是操纵系统内部债务的数量。

这是协议和攻击者之间的私人战斗。使用的合同没有公布,也没有提供给用户,这意味着他们没有直接受到影响。我们还没有看到这样明目张胆的内部犯罪,Alpha和Finance很快就指出他们找到了主要嫌疑犯。

如果合同还没有准备好,为什么要配置在主网上?

在混乱中,大玩家迅速采取行动保护自己的资本。SBF从CreamFinance中提取了价值4亿美元的FTT,三箭资本(ThreeArrows)向货币安全发送了价值300万美元以上的ALPHA代币,其唯一目的

与此次攻击相关的所有代币价值都下降了。

AlphaHomora管理令牌ALPHA从2.25美元下降到1.78美元。

YFI创始人安卓计划将KP3R-ETH资金池转移到AlphaHomora:YFI创始人安卓计划在3天前提出建议,将KP3R-ETH资金池转移到AlphaHomora注意,AlphaHomora是Alpha,Finance发售的第二个产品,通过AlphaHomora协议,用户可以在参加流动性采矿时使用杠杆。[2020/11/2421:54:34]

Ironk管理代币CREAM从288.32美元下降到193.51美元。

AAVE提供了本次攻击所需的闪电贷款功能,其管理代币从当天的518美元跌至492美元的低点。

但是,代币的价格并不是这个故事中最有趣的方面。

AlphaFinance团队发表了优秀的调查报告书,他们的发现令人惊讶。我们联合调查的结果显示,腐败的程度比预期的严重得多。

AlphaFinance是否公开指控还需要观察,但最初关于主要嫌疑人的声明表明影响正在到来。

从官方调查报告书可以看出,攻击者需要知道以下信息来实施攻击

HomoraBankv2为即将发布的版本配置了sUSD池,该版本既没有提供UI,也没有公开发布。

susd贷款池没有流动性,攻击者可以完全操作和夸大总债务金额和总债务份额

借用函数的计算有错误的计算,只有攻击者是唯一的借用者才会受到影响

AionOAN将于下月推出Moves。CryptoAlpha版本:AionoAN开放应用程序网络将于下月向AION社区和广泛的加密货币生态圈推出的新产品(Alpha版本)-MovesCrypto。[2020/9/18]

resolveReserve函数可以在不增加totalDebtShare的情况下增加totalDebt,但实际上任何人都可以调用收入收集到储备池的函数

HomoraBankv2接受定制spell,只要不变量检测collateral>borrow(Yearn中战略类似的spell)

在这么多用户的关注下,强盗留下了明确的线索,在罕见的反击行动中,受害者选择了袭击者。

上述要求证明,实施这次攻击需要内幕信息。但是,由于涉及协议和审计公司的范围,内部人员可能有很多可能性。

rekt已经不是做投诉的生意了,但是我们期待着看看Alpha如何处理这种情况。

以下是AlphaFinance表达的经过

攻击者制作了邪恶的spell(相当于Yearn的战略)https://etherscan.io/tx/0x2b419173c1f16e94e43afed15a46e3b3a109166fca0ba583f686d23。

攻击者将ETH换成UNI,将ETHUNI提供给Uniswap池(获得ETH/UNILP代币)。在同一交易中,用Uniswap更换ETH->suSD,将suSD存入Cream的IronBank(获得cysuSD)https://etherscan.io/tx/0x4441eefe434fbef9d9b3acb16935353676344444d3ad。

Bitfinex开始了2亿8千万美元的加密对冲基金Fulguralpha:加密交易所Bitfinex于3月16日宣布在线总部位于巴哈马的加密对冲基金Fulguralpha,该基金目前价值2亿8千万美元。据Bitfinex报道,该基金今年的目标是增加其管理资产,目前只向专业投资者开放。FulgurAlpha的资产由注册加密资产管理者DelchainLimited所有,基金监督合规由总部位于巴哈马的管理者DeltecFundServices和Deltecinternationgroup部门负责。Delchain运营执行主管Bruno,Macchialli说明,该基金是以风险分散为特征的传统方式建立的,该基金是机构在加密领域投资的蓝图。[2020/3/16]

使用邪恶的spell将execute调用到HomoraBankV2,实行:借用1000e18sUSD,将UNI-WETHLP存入WERC20,在此过程中作为抵押品(绕过collateral>borrow检查),攻击者拥有1000e18sUSD债务份额(因为攻击者是第一个借款人)https://etherscan.io/tx/0xcc57ac7777838362670767676767076767676767076767676

再次使用邪恶的spell将execute调用到HomoraBankV2,执行:偿还1000009854838710983suSD(实际应计利息债务为10000098548710984suSD)毕竟攻击者目前拥有1份minisUSD负债和1份负债份额。https://etherscan.io/tx/0xf31e9d93db3592601b854f8872ca2a3247c475ea8062a20dd41。

现场|AlphaCoinFund创始人安干隆:块链在金融领域落地应该是全面的多层次:金色财经现场报道,1月15日上午,在易趣财经、块链、金融资产管理杂志社主办的破界融合块链和数字高峰论坛上举办。AlphaCoinFund创始人安干隆现场表示,块链在世界金融领域的落地应该是全面、多层次的。从大到小,以国家力量推动产业发展,金融行业和金融机构立足现有基础创新,传统巨头加强研究与合作,创新创业繁荣发展。此外,全方位落地发展要以人才为基础。[2020/1/15]

调用SUSD银行的resolvereserve,产生1970977742196债务,totalShare还是1。目前状态:totaldebt=1970977742197,totalSharet=1https://etherscan.io/tx/0x98f623af655f1e27e1c04f0bc8c9bdb35d399999913bedfe712d4058c67c0e

再次使用邪恶的spell将execute调用到HomoraBankV2,执行(重复16次,每次加倍借款金额):借1970977742196美元转移给攻击者(每次加倍,因为每次借款都会加倍)。每次借款都比totalDebt值小1,导致相应的借款份额=0,因此协议将其视为无债务借款。收盘时,攻击者向Cream的IronBank存入19.54USD。https://etherscan.io/tx/0x2e387620b31c067efc87874676464636546565664664646409e3

动态|BCH开发者发表了BitcoinToken的alpha版本:据news.bitcoin报道,最近BCH开发者Clemensley发表了BitcoinToken的alpha版本,现在在BCH开发者。的双曲馀弦值。BitcoinToken是Javascript库,开发自主合同和基于BCH的Token,将支付整合到网络应用程序中。[2018/11/3]

继续这个过程:再次使用邪恶的spell将execute调用到HomoraBankV2,执行(重复10次,每次借的金额加倍)。交易结束时,攻击者将1321sUSD存入Cream的IrontBank,https://etherscan.io/tx/0x64de824a7a339ff41b1487194ca6344a9ce3565ff483893cc183532a4

通过Aave闪电贷款借出1,800,000USDC,将这1,800,000USDC更换为1770757.56254727219047906USD,存入Cream,使攻击者拥有足够的流动资金,使用自定义spell借款将1353123.59sUSD更换为1374960.72。USDC,从Cream借用426659.27USDC(因为攻击者已经在步骤b中存入了sUSD)https://etherscan.io/tx/0x7eb2436eb2436ed39c86565651a24565646464664663676129。

重复步骤8,本次金额约为1000万USDC,https://etherscan.io/tx/0xd7a9172c3fd09acb75a9447178ae7051798f249840626

重复1000万USDC,https://etherscan.io/tx/0xacec6db7db7db66ba66c0fb6289c25a83d93d93d9eb9a8d8495ba24ba57。

借款13244.63WETH360万USDC560万USDT426万DAI,为Aave提供稳定的货币(因为得到了AToken,USDC和USDT不能冻结),为Curve3Crv池提供ADAI、AUSDT和AUSDC,https://etherscan.io/tx/0x745dedf268686868686863636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636363636。

将a3CrvLP代币添加到Curve的流动性gaugehttps://etherscan.io/tx/0xc60bc6ab561af2a19ebc9e57b44b2177489b07f75cb367

其馀交易将资金发送给TornadoCash和GitCoinGrants,其中1000名ETH发送给Cream和Alpha的部署者地址。

这个故事很独特,也令人怀疑。

当涉及到白帽/黑帽帽子的活动时,我们总是期待看到角色的转换,但很少看到受害者这么明确地指责。

几周前,Yearn和AlphaHomora合作的Andre的Cronje在谈到这次攻击时写道

Banteg的回答如下

这可能会导致另一起Yearn收购案,Cronje的名字在调查报告中提到了4次,而且这种模式看起来确实很熟悉。的双曲馀弦值。的双曲馀弦值。

匿名黑客的时代能持续多久?

由于可能犯罪嫌疑人名单非常小,因此更容易排除和跟踪潜在攻击者。在这种情况下,名单的范围甚至比通常小。

处理代码时,Dontrust,verify是一个很好的口号,但不能阻止越来越多的社会偏执症。我们正在经历加密货币和DeFi前所未有的增长期。在这个时期,不工作的成本非常高。DeFi开发者的精神负担日益增加。

帝国建立在代码行上,金融的未来就在我们面前。

开发商陷入竞争,腐败的内部人员帮助黑客在地下工作,在他们的基础上挖洞。

一座塔倒塌时,其他塔看着学习。在尘埃落定之前,人们开始前进,坚韧的队伍回到竞技场,寻求更强的实力。

在不可避免的失误导致匿名斗篷掉落之前,他们能维持多长时间?

注:原文来自rekt。

HomoraBankv2只要定制spell,只要不变量检测collateral。

标签:

区块链热门资讯
SocialCapitalCEO:没有人听巴菲特的我们在社交投资时代

SocialCapitalCEO:没有人听巴菲特的我们在社交投资时代。 最新接受彭博社采访时,前Facebook干部、现在的风险投资基金SocialCapital首席执行官、Chamath、Palihapitiya输出了惊人的意见。现在投资者不听沃伦·巴菲特,进入了以SPAC和Reddit论坛为主导的社交投资时代。

2021/2/14 12:53:31
杨凯:春节行情强劲攻击货币圈市场谁是领导者

杨凯:春节行情强劲攻击货币圈市场谁是领导者。 情人节快乐,情人节快乐, 简单地说几句话,诚实永远不会改变的大家的友谊就像笔墨一样,写的话就不能抹去写的笔迹…杨凯也是大家的老恋人,如果你不放弃,我就不会放弃!哈哈…一直和你在一起! 以前的金戈铁马,今天英姿勃发,踏上坎坷的羁绊,一路走向歌彩霞的新年家人担心,希望事业成长,分享财富荣誉,与海角的尽头携手!春。

2021/2/14 12:53:05
末日博士鲁比尼炮击面具操纵比特币价格,呼吁监督机构调查

末日博士鲁比尼炮击面具操纵比特币价格,呼吁监督机构调查。 正确预测2008年金融海啸,被称为末日博士的纽约大学经济学教授鲁比尼最近接受采访时,特斯拉首席执行官马斯克在特斯拉投资比特币之前,在社交媒体上唱了多比特币,构成了市场操纵。

2021/2/14 12:01:25
新闻周刊|美国SEC官员:需要明确的加密货币监督制度

新闻周刊|美国SEC官员:需要明确的加密货币监督制度。 金色周刊是金色财经发表的每周块链行业总结栏,内容复盖了每周重点新闻、行情和合同数据、矿业信息、项目动态、技术进展等行业动态。本文是其中的新闻周刊,介绍本周块链行业的大事情。 政策。的双曲馀弦值。 ▎美国SEC官员:需要明确的加密货币监督制度。

2021/2/14 11:09:26
随着机构持有3%的BTC流通供应,比特币继续走向主流

随着机构持有3%的BTC流通供应,比特币继续走向主流。 机构投资者迅速购买比特币,写本文时,约3%的流通比特币(BTC)长期持有。 数据显示,24家实体已囤积超过460500家BTC,按比特币现价计算,相当于220亿美元。

2021/2/14 10:17:43
突破块链核心技术块链向远方

突破块链核心技术块链向远方。 块链作为数字时代的基础技术,具有中心化、开放性、自治性、匿名性、编程性和可追溯性的6个特征,块链具有革命霸权技术的特质。 其中,去中心化是指使用分布式计算和存储技术,不存在中心化的硬件和管理机构,任何节点的权利和义务均等,系统中的数据块由系统整体具有维护功能的节点共同维护。这也意味着保障节点的安全对块链的安全至关重要。

2021/2/14 9:26:06
ads