|
通过 Aave 的闪电贷借入 1,800,000 USDC,然后将这 1,800,000 USDC 换成 1770757.5625447219047906 sUSD,并存入 Cream 以使攻击者有足够的流动资金使用自定义 spell 借款,继续将 sUSD 借款翻番,从 1322.70 sUSD 增加到 677223.15 sUSD (共 10 倍)。将 1353123.59 sUSD 换成 1374960.72 USDC,从 Cream 借入 426659.27 USDC (因为攻击者已在步骤 b 中存入 sUSD) https://etherscan.io/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a3200c623f676b3912f9 重复步骤 8,这次金额大约是 1000 万 USDC ,https://etherscan.io/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e; 重复 1000 万 USDC,https://etherscan.io/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57 借款 13244.63 WETH+360 万 USDC+560 万 USDT+426 万 DAI,向 Aave 供应稳定币(以获得 aToken,因此 USDC 和 USDT 不能冻结),向 Curve a3Crv 池子供应 aDAI、 aUSDT 以及 aUSDC,https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b 将 a3Crv LP 代币添加到 Curve 的流动性 gauge https://etherscan.io/tx/0xc60bc6ab561af2a19ebc9e57b44b21774e489bb07f75cb367d69841b372fe896 其余的交易将资金发送到 Tornado Cash 以及 GitCoin Grants,其中有 1000 ETH 被发送到 Cream 和 Alpha 的部署者地址。
这个故事很独特,也令人生疑。 当涉及到白帽子 / 黑帽子的活动时,我们总是期待看到角色转换,但是我们很少看到受害者如此清楚地指责。 几周前促成 Yearn 和 Alpha Homora 合作的 Andre Cronje 在谈到这次攻击时写道: 「花点时间研究了这次攻击,9 笔交易,4 种不同的操纵,其中一种包括精确的债务计算,这需要研究团队花费数小时才能弄清楚,Alpha 立即采取了措施来缓解漏洞问题,在发现该问题后的几分钟内就解决了它。」 而 Banteg 的回复是: 「这个事件绝对是疯狂的,不可能有人随便看看合约,尤其是那些未经宣布的东西,就能发现这一点。」 也许这会导致另一起 Yearn 收购案,Cronje 的名字在调查报告中被提到了 4 次,而且这个模式看起来确实很熟悉。
匿名黑客的时代还能持续多久?由于可能的嫌疑犯名单非常小,因此更容易排除和追踪潜在的攻击者,在这种情况下,名单范围甚至比平常更小。 在处理代码时,「Don’t trust, verify」是一句极好的口号,但它并不能阻止日益增长的社会偏执症。我们正经历一个加密货币和 DeFi 前所未有的增长时期,在这个时期,不工作的成本是非常高的。DeFi 开发者的精神负担与日俱增。 (责任编辑:admin) |
