USD:慢霧：簡析 Alpha Finance 與 Cream被黑

據慢霧區消息，2021年2月13日，以太坊DeFiAlphaFinance遭受攻擊，慢霧安全團隊第一時間跟進分析，并以簡訊的形式分享給大家，供大家研究。

1.攻擊者用一部分的WETH在UniswapWETH-UNI池子上添加流動性，再把一部分的WETH兌換成sUSD并在Cream中添加流動性獲得cySUSD憑證。

2.攻擊者通過AlphaHomoraV2從IronBank借出sUSD，并將LP抵押到WERC20中為后面開杠桿做準備。

韓國尋求加密貨幣公司的建議以打擊朝鮮黑客行為:金色財經報道，韓國官員正在尋求加密貨幣公司的建議，以打擊朝鮮的加密貨幣犯罪。韓國朝鮮半島和平與安全事務特別代表Kim Gunn會見了總部位于弗吉尼亞州的網絡安全公司Mandiant，討論如何防止朝鮮黑客竊取個人和企業實體的加密資產，Kim Gunn還會見了加密情報公司Chainalysis的高管，討論朝鮮竊取加密資產的網絡策略。韓國聯合通訊社最近報道稱，朝鮮黑客在2022年竊取了價值7億美元的加密資產。[2023/7/21 11:07:57]

3.攻擊者再通過AlphaHomoraV2將上一步借出的sUSD歸還給IronBank。

美國金融穩定委員會下個月將報告數字資產的監管漏洞:金色財經報道，據拜登政府高級官員稱，金融穩定監督委員會(FSOC)計劃在下個月確定關于數字資產的監管空白，并建議如何填補這些空白，作為期待已久的美國數字資產政策聯邦框架的最后一部分。

根據政府提供的一份概況介紹，該報告將討論數字資產的金融穩定風險，確定需要額外監管的相關領域，并提出促進金融穩定的建議。除了加強聯邦加密貨幣政策的協調外，政府還希望在不同的國際組織中追求數字資產政策的全球領導地位。（the block）[2022/9/16 7:01:25]

4.上面幾步似乎只是試探。

STEPN推出realm計劃，用戶可在不同的realm中Play同一款游戲:5月24日消息，Move to Earn應用STEPN推出realm計劃。據悉，“realm”是承載游戲分叉的服務器，可使不同的用戶在不同的realm中Play同一款游戲。在STEPN中，用戶在不同的realm共享同一套規則：能量跨realm共享；GMT跨realm橋接；游戲中的實用代幣不會跨realm橋接。且用戶可以自由定義realm的顏色主題、實用代幣、NFT的視覺效果和敘事。

數據顯示，STEPN月活用戶為300萬；日活用戶為80萬；月收入達1億美元，日交易費用凈利潤達300-500萬美元。[2022/5/24 3:38:09]

5.隨后攻擊者開始利用AlphaHomoraV2的杠桿借貸從IronBank中循環借出sUSD，每次借出數量都是上一次的一倍，最后將借出的sUSD再轉到Cream中添加流動性獲得cySUSD憑證。

6.之后攻擊者不滿足于這種低效的杠桿循環借貸疊cySUSD的方式，開始使用閃電貸加快速度。

7.攻擊者開始從AAVE中閃電貸借出180萬USDC，并通過Curve將USDC兌換成sUSD，這時候攻擊者就拿到了大量的sUSD了。

8.隨后攻擊者先用sUSD到Cream中添加流動性，并獲得cySUSD憑證，再開始繼續使用AlphaHomoraV2的杠桿借貸從IronBank中循環翻倍的借出sUSD，最后利用借出的sUSD去歸還閃電貸。(償還的閃電貸中有包含先前幾步的一部分sUSD作為利息，因為最后一步借出的不足以還貸，但都是拿從Alpha借的去還的)?

9.重復上一步，閃電貸借出1000萬USDC，換成sUSD，先添加在Cream中，添加9,668,335的流動性拿到cySUSD，再繼續杠桿借貸，最后翻倍到10,088,930應該基本把池子借空了。然后開始重復添加流動性，獲取cySUSD。最后再去歸還閃電貸。

10.再閃電貸借出1000萬，再重復添加流動性與借貸，獲取cySUSD并歸還閃電貸。

11.由于經過以上步驟攻擊者已獲得大量cySUSD，因此攻擊者開始直接在Cream借出WETH、USDC、USDT、DAI、sUSD。

總結：攻擊者使用閃電貸到AlphaFinance中進行杠桿借貸，并使用AlphaFinance本身的CreamIronBank額度來歸還閃電貸，在這個過程中攻擊者通過在Cream添加流動性獲得了大量的cySUSD，使攻擊者得以用這些cySUSD在CreamFinance中進行進一步的借貸。由于AlphaFinance的問題，導致了兩個協議同時遭受了損失。

來源：金色財經

Tags：USDSUSDREAALMUSDT幣提現會查嗎ASUSDethereal深層含義ALMX幣

Fil