據慢霧區訊息,2021 年 2 月 13 日,以太坊 defi alpha finance 遭受攻擊,慢霧安全團隊第一時間跟進分析,並以簡訊的形式分享給大家,供大家研究。
1. 攻擊者用一部分的 weth 在 uniswap weth-uni 池子上新增流動性,再把一部分的 weth 兌換成 susd 並在 cream 中新增流動性獲得 cysusd 憑證。
2. 攻擊者透過 alpha homora v2 從 ironbank 借出 susd,並將 lp 抵押到 werc20 中為後面開槓杆做準備。
3. 攻擊者再透過 alpha homora v2 將上一步借出的susd 歸還給 ironbank。
4. 上面幾步似乎只是試探。
5. 隨後攻擊者開始利用 alpha homora v2 的槓桿借貸從 ironbank 中迴圈借出 susd,每次借出數量都是上一次的一倍,最後將借出的 susd 再轉到 cream 中新增流動性獲得 cysusd 憑證。
6. 之後攻擊者不滿足於這種低效的槓桿迴圈借貸疊 cysusd 的方式,開始使用閃電貸加快速度。
7. 攻擊者開始從 aave 中閃電貸借出 180 萬 usdc,並透過 curve 將 usdc 兌換成 susd,這時候攻擊者就拿到了大量的 susd 了。
8. 隨後攻擊者先用 susd 到 cream 中新增流動性,並獲得 cysusd 憑證,再開始繼續使用 alpha homora v2 的槓桿借貸從 ironbank 中迴圈翻倍的借出 susd,最後利用借出的 susd 去歸還閃電貸。(償還的閃電貸中有包含先前幾步的一部分 susd 作為利息,因為最後一步借出的不足以還貸,但都是拿從 alpha 借的去還的)
9. 重複上一步,閃電貸借出 1000 萬 usdc,換成 susd,先新增在 cream 中,新增 9,668,335 的流動性拿到 cysusd,再繼續槓桿借貸,最後翻倍到 10,088,930 應該基本把池子借空了。然後開始重複新增流動性,獲取 cysusd。最後再去歸還閃電貸。
10. 再閃電貸借出 1000萬,再重複新增流動性與借貸,獲取 cysusd 並歸還閃電貸。
11. 由於經過以上步驟攻擊者已獲得大量 cysusd,因此攻擊者開始直接在 cream 借出 weth、usdc、usdt、dai、susd。
總結:攻擊者使用閃電貸到 alpha finance 中進行槓桿借貸,並使用 alpha finance 本身的 cream ironbank 額度來歸還閃電貸,在這個過程中攻擊者透過在 cream 新增流動性獲得了大量的 cysusd,使攻擊者得以用這些 cysusd 在 cream finance 中進行進一步的借貸。由於 alpha finance 的問題,導致了兩個協議同時遭受了損失。
