Взлом $CREAM. Последствия для протоколов YFI, SNX, AAVE$CREAM. Последствия для протоколов YFI, SNX, AAVE
Совокупный ущерб составил - $37,5M
Адрес хакера:
https://etherscan.io/address/0x905315602ed9a854e325f692ff82f58799beab57На борту у хакера - 10 924 ETH + $13,5M - в процентных токенах a3CRV, положенных в
Cream.finance- 100ETH было пожертвовано в Gitcoin Grants Tornado Cash, через Tornado Cash было выведено 220ETH.
- 1000ETH было переведено на адрес
Cream.finance разработчика
- 1000ETH было переведено на адрес Alpha Finance Lab разработчика
Что же произошло на самом деле?
1 Многоуровневый левередж заимствований позволяет положить в IronBank средства и сразу взять их обратно в этой же валюте.
Атакующий использовал Alpha Homora для заимствования sUSD у IronBank.
Каждая последующая операция - хакер брал в долг вдвое больше, чем в предыдущем случае.
2 Беря деньги в долг у IronBank, каждый раз клал их на депозит обратно в IronBank, получая cySUSD (cream yearn synthetix USD).
3 Затем хакер взял флэш-лоан USDC в размере $1,8M от Aave v2 и обменял USDC на sUSD с помощью Curve.
4 Кладет sUSD в IronBank, что дает возможность брать / заимствовать опять cySUSD.
5 Флеш-лоан в $10M для увеличения количества cySUSD.
6 В конце концов, количество cySUSD таково, что позволяет хакеру занять активы на широкую ногу в IronBank.
Хакер под залог многократного левериджа sUSD берет в залог 4.2M DAI, 13.2k WETH, 3.6M USDC, 5.6M USDT.
https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1bСтейбл ссужены в Aave v2, взамен, хакер получает 13,532,845
Curve.fi aave 3CRV токенов, т е процентных токенов, которые будут нести ему % доход за операции обмена в Curve пуле - USDC/USDT/DAI, кладет их на процентный доход в
Cream.financeПострадавшие протоколы:
Synthetix ( взятые токены sUSD из протокола Cream)
AAVE - часть украденных средств сейчас приносят доход хакеру
Curve - украденные средства генерируют доход - лишая обычных депозиторов % за обмены
Cream - самый пострадавший протокол.
И если последний хак на 11М DAI в YEARN был возмещен за счет залога свеже напечатанных токенов YFI в протоколе Maker под печать DAI, то с Cream-ом ситуация обстоит иначе.
Текущий Маркет кап - $132M и напечатать токенов в обход инфляционных правил будет не просто, чтобы возместить токенами взлом аж на 1/3 от текущей оценки проекта.
Тем не менее, эксплоит был закрыт быстро. Что, в мем-крипто-кругах трактуется как буллиш-сигнал:
Хак - точно буллиш!
А теперь вернемся к вчерашней дискуссии, которая действительно являлась причиной взлома протокола Cream.
В Lobster DAO вчера был представлен план вестинга токенов для сотрудников Yearn разработчиками.
При текущей цене он предполагает вознаграждение девов Yearn в размере $4,5M в токенах YFI с 3 годовым вестингом или $12K в день.
На что, возмущенные крипто-граждане заметили, что дескать, при таких ЗП пора бы и баунти за взломы сделать никак не $50K.
В результате дискуссии - стороны исходили из того, что взлом никак не может быть оценен в условных 10% от средств, которые подвергнуты взлому.
Что ж. Я уверен, и со мной согласится white hacker samczsun, его сегодняшние слова: "действия говорят громче слов, я не знаю, но я думаю, что хакер мог бы быть по скромнее, но его сообщение все равно было бы ясно".
Баунти должны перевешивать риски быть злодеем.
Слова эксплоитера услышаны: "Хотите $4,5M в год? Я тоже хочу больше $50K за дырку в нововведениях в
Cream.finance"
Действия Сэма Аламеды были очень оперативны, согласно Hsaka в твиттере: "По крайней мере, $400M в токенах $FTT в $CREAM было выведено моментально"
https://twitter.com/HsakaTrades/status/1360496135937224705