Alpha Homora pierde 37 millones de dólares tras un exploit de la función Iron Bank de Cream Finance
En uno de los mayores exploits de la era DeFi, esta mañana un atacante ha conseguido drenar más de USD 37 millones de Alpha Homora aprovechando la plataforma de préstamos de protocolo a protocolo Iron Bank de Cream.
Alpha Finance Lab, cuyo protocolo fue auditado por Quantstamp y Peckshield, anunció esta mañana vía Twitter que tenían conocimiento de un ataque, que el error que lo permitió había sido parcheado y que el equipo ya tenía un “principal sospechoso”:
Estimada comunidad de Alpha, hemos sido notificados de un exploit en Alpha Homora V2. Ahora estamos trabajando con @AndreCronjeTech y @CreamdotFinance juntos en esto.
El error ha sido parcheado
Estamos investigando el fondo robado y ya tenemos un principal sospechoso.
— Alpha Finance Lab (@AlphaFinanceLab) February 13, 2021
Estimada comunidad de Alpha, hemos sido notificados de un exploit en Alpha Homora V2. Ahora estamos trabajando con @AndreCronjeTech y @CreamdotFinance juntos en esto.
El error ha sido parcheado
Estamos investigando el fondo robado y ya tenemos un principal sospechoso.
La transacción del exploit es muy compleja. El atacante utilizó Alpha Homora para pedir y prestar varias veces utilizando la función Iron Bank, que permite realizar préstamos apalancados. Algunos analistas han especulado con la posibilidad de que un “hechizo” falsificado (el término de marca de Alpha para un contrato inteligente) es lo que permitió que ocurriera el incidente:
Ese contrato es un hechizo falso de Alpha Homora, el sistema de Alpha Homora pensó que era uno de los suyos;
Ese “contrato” es “propiedad” de Alpha pic.twitter.com/5OHlWh9Mi1
— Arrundai (@arrundai) February 13, 2021
Ese contrato es un hechizo falso de Alpha Homora, el sistema de Alpha Homora pensó que era uno de los suyos;
Ese “contrato” es “propiedad” de Alpha
Este ataque de “hechizo/contrato falso” se parece conceptualmente al ataque de “tarro malo” contra Pickle Finance, que le reportó a un atacante USD 20 millones a finales del año pasado. En ambos casos, los protocolos afectados respondían erróneamente a contratos falsos.
Al poco tiempo de que el exploit tuviera éxito, el atacante “dio una propina” de 1,000 Ether a cada uno de los desplegadores de Alpha y Iron Bank, y también hizo una donación de Gitcoin.
Cream Finance dijo en un comunicado en Twitter que el exploit de la función Iron Bank no afectó a ninguno de sus otros contratos, y que sus mercados monetarios estaban funcionando con normalidad:
Se investigaron los contratos y mercados C.R.E.A.M. y se comprobó que funcionan con normalidad. Los mercados se han vuelto a habilitar tanto en la V1 como en la V2.
Se realizará un análisis más adelante.
— Cream Finance (@CreamdotFinance) February 13, 2021
Se investigaron los contratos y mercados C.R.E.A.M. y se comprobó que funcionan con normalidad. Los mercados se han vuelto a habilitar tanto en la V1 como en la V2.
Se realizará un análisis más adelante.
¿Protocolo de compensación?
La pregunta ahora es cómo se compensará a los usuarios en caso de que los protocolos no puedan presionar a su “principal sospechoso” para que devuelva los fondos.
El equipo de Yearn.Finance y MakerDAO sentaron un precedente con una “DAO rescatando a otra DAO” la semana pasada cuando MakerDAO permitió la creación de una posición de deuda colateralizada a la medida de la tesorería recién creada de Yearn.
Mientras que el tamaño del ataque supera los USD 11 millones que sufrió Yearn, algunos han especulado que Alpha igualmente emitirá tokens para cubrir las pérdidas, y algunos traders e instituciones ya se han posicionado para tal dilución.
Los monitores de actividad de la cadena de Intrepid notaron que Three Arrows Capital envió más de USD 3 millones en tokens ALPHA a Binance esta mañana, posiblemente con la intención de venderlos:
¿Three Arrows Capital vendiendo $Alpha? Oh, rayos… pic.twitter.com/4xjlhZrIze
— Jason La Finance (@Raez_x) February 13, 2021
¿Three Arrows Capital vendiendo $Alpha? Oh, rayos…
Actualmente, el precio ALPHA, el token de gobernanza del protocolo que sufrió las pérdidas, ha bajado un 20% a USD 1.83 dólares; CREAM, el token de gobernanza del protocolo que permitió el exploit, ha bajado un 16% a USD 222; AAVE, el token del protocolo que el atacante utilizó para realizar el préstamo flash, ha bajado un 2% a USD 505.
Sigue leyendo: