Взлом $CREAM. Последствия для протоколов YFI, SNX, AAVE Совок | КриптоЧасовой :: DeFi, крипта, блокчейн, альткойны, биткойн, майнинг, трейдинг, финтех

Взлом $CREAM. Последствия для протоколов YFI, SNX, AAVE

Совокупный ущерб составил - $37,5M
Адрес хакера: https://etherscan.io/address/0x905315602ed9a854e325f692ff82f58799beab57

На борту у хакера - 10 924 ETH + $13,5M - в процентных токенах a3CRV, положенных в Cream.finance
- 100ETH было пожертвовано в Gitcoin Grants Tornado Cash, через Tornado Cash было выведено 220ETH.
- 1000ETH было переведено на адрес Cream.finance разработчика
- 1000ETH было переведено на адрес Alpha Finance Lab разработчика

Что же произошло на самом деле?

1 Многоуровневый левередж заимствований позволяет положить в IronBank средства и сразу взять их обратно в этой же валюте.

Атакующий использовал Alpha Homora для заимствования sUSD у IronBank.

Каждая последующая операция - хакер брал в долг вдвое больше, чем в предыдущем случае.

2 Беря деньги в долг у IronBank, каждый раз клал их на депозит обратно в IronBank, получая cySUSD (cream yearn synthetix USD).

3 Затем хакер взял флэш-лоан USDC в размере $1,8M от Aave v2 и обменял USDC на sUSD с помощью Curve.

4 Кладет sUSD в IronBank, что дает возможность брать / заимствовать опять cySUSD.

5 Флеш-лоан в $10M для увеличения количества cySUSD.

6 В конце концов, количество cySUSD таково, что позволяет хакеру занять активы на широкую ногу в IronBank.

Хакер под залог многократного левериджа sUSD берет в залог 4.2M DAI, 13.2k WETH, 3.6M USDC, 5.6M USDT.
https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

Стейбл ссужены в Aave v2, взамен, хакер получает 13,532,845 Curve.fi aave 3CRV токенов, т е процентных токенов, которые будут нести ему % доход за операции обмена в Curve пуле - USDC/USDT/DAI, кладет их на процентный доход в Cream.finance

Пострадавшие протоколы:
Synthetix ( взятые токены sUSD из протокола Cream)
AAVE - часть украденных средств сейчас приносят доход хакеру
Curve - украденные средства генерируют доход - лишая обычных депозиторов % за обмены
Cream - самый пострадавший протокол.

И если последний хак на 11М DAI в YEARN был возмещен за счет залога свеже напечатанных токенов YFI в протоколе Maker под печать DAI, то с Cream-ом ситуация обстоит иначе.

Текущий Маркет кап - $132M и напечатать токенов в обход инфляционных правил будет не просто, чтобы возместить токенами взлом аж на 1/3 от текущей оценки проекта.

Тем не менее, эксплоит был закрыт быстро. Что, в мем-крипто-кругах трактуется как буллиш-сигнал:

Хак - точно буллиш!

А теперь вернемся к вчерашней дискуссии, которая действительно являлась причиной взлома протокола Cream.

В Lobster DAO вчера был представлен план вестинга токенов для сотрудников Yearn разработчиками.

При текущей цене он предполагает вознаграждение девов Yearn в размере $4,5M в токенах YFI с 3 годовым вестингом или $12K в день.

На что, возмущенные крипто-граждане заметили, что дескать, при таких ЗП пора бы и баунти за взломы сделать никак не $50K.

В результате дискуссии - стороны исходили из того, что взлом никак не может быть оценен в условных 10% от средств, которые подвергнуты взлому.

Что ж. Я уверен, и со мной согласится white hacker samczsun, его сегодняшние слова: "действия говорят громче слов, я не знаю, но я думаю, что хакер мог бы быть по скромнее, но его сообщение все равно было бы ясно".

Баунти должны перевешивать риски быть злодеем.
Слова эксплоитера услышаны: "Хотите $4,5M в год? Я тоже хочу больше $50K за дырку в нововведениях в Cream.finance"

Действия Сэма Аламеды были очень оперативны, согласно Hsaka в твиттере: "По крайней мере, $400M в токенах $FTT в $CREAM было выведено моментально"

https://twitter.com/HsakaTrades/status/1360496135937224705