简析 Alpha Finance Cream 被攻击事件_币世界+慢雾科技

2021-02-15 12:30 栏目:行业动态 来源:网络整理 查看()

由于Alpha Finance的问题,两个协议同时亏损。慢雾区消息称,2021年2月13日,Ethereum的DeFi Alpha Finance遭到攻击,慢雾安全团队立即跟进分析,并以简讯的形式分享给大家学习。

1.攻击者用一部分wet向Uniswap WES-UNI池添加流动性,然后将一部分wet转换为sUSD,并向Cream添加流动性以获得cySUSD证书。

2.攻击者通过阿尔法霍莫拉V2从IronBank借出了sUSD,并将LP抵押给WERC20,为以后打开杠杆做准备。

3.攻击者将通过阿尔法霍莫拉V2把上一步借出的sUSD归还给IronBank。

4.以上步骤似乎只是一个测试。

5.然后,攻击者开始利用阿尔法霍莫拉V2的杠杆贷款向IronBank借入sUSD,每次借入的金额是前一次的两倍。最后将借出的sUSD转入Cream,增加流动性,获得cySUSD证书。

6.之后,攻击者不满足于这种靠杠杆和堆砌cySUSD的低效借贷方式,开始用闪电贷款来加快速度。

7.攻击者开始闪电从AAVE借出180万美元,并通过Curve将美元兑换成sUSD,此时攻击者获得了大量sUSD。

8.随后,攻击者用sUSD给Cream增加了流动性,获得了cysUSD证书,然后继续使用Alpha homola V2的杠杆贷款向IronBank借sUSD,最后用借的sUSD偿还闪电贷款。(偿还的闪电贷款包含了sUSD之前步骤的一部分作为利息,因为最后一步不足以偿还贷款,但都是向Alpha借的。)

9.重复上一步。闪贷借给USDC 1000万,换成了苏思德。一是加到奶油里,加上9,668,335的流动性得到cySUSD。然后杠杆贷款继续,最后翻倍到10088930,应该基本清空池。然后开始反复增加流动性,获得cySUSD。最后,还闪电贷。

10.借闪电贷1000万,反复增加流动性和贷款,取得cySUSD,归还闪电贷。

11.经过以上步骤,攻击者获得了大量的资金,于是攻击者开始直接在Cream借钱给WETH、USDC、USDT、DAI、SUSD。

总结:攻击者在Alpha Finance使用Flash Loan进行杠杆贷款,并使用Alpha Finance自己的Cream IronBank额度偿还Flash Loan。在这个过程中,攻击者通过在奶油中增加流动性获得了大量的cySUSD,使得攻击者能够利用这些cySUSD在奶油金融中进行进一步的贷款。由于Alpha Finance的问题,两个协议同时亏损。

微信二维码
售前客服二维码

文章均源于网络收集编辑侵删

提示:币友交流QQ/WX群请联系客服加入!

郑重申明:资讯文章为网络收集整理,官方公告以外的资讯内容与本站无关!
虚拟币开发,虚拟币交易平台开发,山寨币交易平台开发 Keywords: 虚拟币开发 虚拟币交易平台开发 山寨币交易平台开发