DeFi 的暗中艺术仍然是最有利可图的。

下面是我们至今碰着过最具戏剧性的故事之一。

一个虚假把戏，杂乱及指控的故事，导致了迄今为止最大的 DeFi 黑客事件。

约莫有 3750 万美元资金在一起巨大的 DeFi 欺骗案中被盗，这次进攻操作了多笔生意业务来突袭 Alpha Finance 的金库，同时让许多人相信是 Cream 的铁金库（Iron Bank）受到了影响。

这起行刺案产生在一个有镜子的大厅里，DeFi 协议日益交叉的性质，加上进攻的巨大性，使得社区对谁是真正的受害者，以及谁该认真抵偿感想狐疑。

进攻者的合约导致 Homora 代码「相信」他们的恶意合约是他们本身的，目标是哄骗系统中的内部债务数量。

这是协议和进攻者之间的一场私人战斗。被操作的合约尚未被发布，也未提供应用户，这意味着他们没有受到直接影响。我们还没有看到过这样一个明火执仗的内部作案，Alpha Finance 很快指出，他们找到了一个「主要嫌疑人」。

假如合约还没有筹备好，为什么还要陈设在主网上？

在杂乱中，大玩家迅速采纳动作来掩护本身的成本。SBF 从Cream Finance中提取了代价 4 亿美元的 FTT，三箭成本（Three Arrows Capital）则向币安发送了代价 300 多万美元的 ALPHA 代币，其独一目标大概是出售掉它们。

与这次进攻相关的所有代币的代价均呈现了下降。

Alpha Homora 管理令牌 ALPHA 从 2.25 美元跌至 1.78 美元。

Iron Bank 管理代币 CREAM 从 288.32 美元跌至 193.51 美元。

AAVE，其提供了这次进攻所需的闪电贷成果，它的管理代币从当天的 518 美元跌至 492 美元的低点。

然而，代币订价并不是这个故事中最有趣的方面。

事件回首

Alpha Finance 团队宣布了一篇精彩的观测陈诉，而他们的发明是惊人的。我们连系观测的功效表白，糜烂的水平比预期的要严重得多。

Alpha Finance 是否会果真他们的指控尚有待调查，但他们最初关于有主要嫌疑人的声明表白，影响正在到来。

从官方观测陈诉来看，我们可以看出，进攻者需要知道以下信息才气实施进攻：

HomoraBankv2 为即将宣布的版本陈设了一个 sUSD 池子，这一版本既没有在 UI 上提供，也没有果真宣布。

sUSD 借贷池中没有活动性，因此进攻者可以完全哄骗和夸大总债务金额和总债务份额；

借用函数计较中存在舍入错误计较，仅当进攻者是独一借用者时才会发生影响；

resolveReserve 函数可以在不增加 totalDebtShare 的环境下增加 totalDebt，而实际上任何人都可以挪用用于将收入收集到储蓄池的函数；

HomoraBankv2 接管任何自界说 spell，只要稳定量查抄出 collateral>borrow （雷同于 Yearn 中计策的 spell）；

在这么多用户的凝望下，抢劫者留下了清晰的线索，在稀有的还击动作中，受害者将袭击者挑了出来。

上述要求证明，实施这一进攻需要黑幕信息。然而，由于涉及协议和审计公司的范畴，黑幕人士大概有多个大概。

rekt 不再是在做指控的生意，但我们等候着看到 Alpha Finance 如那里理惩罚这种环境。

以下是 Alpha Finance 表述的颠末：

进攻者制造了一个邪恶的 spell （相当于 Yearn 的计策）https://etherscan.io/tx/0x2b419173c1f116e94e43afed15a46e3b3a109e118aba166fcca0ba583f686d23

进攻者将 ETH 互换成 UNI，并将 ETH+UNI 提供应 Uniswap 池子（得到 ETH/UNI LP 代币）。在同一笔生意业务中，在 Uniswap 上互换 ETH->sUSD，并将 sUSD 存入 Cream 的 Iron Bank （得到 cysUSD）https://etherscan.io/tx/0x4441eefe434fbef9d9b3acb169e35eb7b3958763b74c5617b39034decd4dd3ad

利用邪恶的 spell 挪用 execute 到 HomoraBankV2，执行：借用 1000e18 sUSD，将 UNI-WETH LP 存到 WERC20，并在此进程顶用作抵押品（绕过 collateral > borrow 查抄），进攻者拥有 1000e18 sUSD 债务份额（因为进攻者是第一个借钱人）https://etherscan.io/tx/0xcc57ac77dc3953de7832162ea4cd925970e064ead3f6861ee40076aca8e7e571

再次利用邪恶 spell 挪用 execute 到 HomoraBankV2，执行：送还 100000098548938710983 sUSD （实际应计利钱债务为 100000098548938710984 sUSD），导致送还份额比总份额少 1。功效，进攻者此刻有 1 minisUSD 债务和 1 份债务份额。https://etherscan.io/tx/0xf31ee9d9e83db3592601b854fe4f8b872cecd0ea2a3247c475eea8062a20dd41

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。