Alpha Homora pierde $ 37 millones en explotación de Iron Bank

En una de las mayores hazañas de la era DeFi, esta mañana un atacante logró exprimir más de $ 37 millones de Alpha Homora al aprovechar la plataforma de préstamos de protocolo a protocolo de Iron Bank de Cream.

Alpha Finance Lab, cuyo protocolo ha sido auditado por Quantstamp y Peckshield, anunció esta mañana en Twitter que tenían conocimiento de un ataque, que se había solucionado el "vacío legal" que lo permitía y que el equipo tenía un "sospechoso principal":

La transacción resultante del exploit es particularmente compleja. El atacante ha utilizado Alpha Homora para pedir prestado y prestar repetidamente con Iron Bank, lo que permite préstamos apalancados. Algunos analistas han especulado que un "hechizo" falso (término de marca registrada de Alpha para un contrato inteligente) es lo que permitió la hazaña:

Esta hazaña de "hechizo / contrato falso" se hace eco conceptualmente del ataque de la "olla malvada" contra Pickle Finance que recaudó a un atacante $ 20 millones a fines del año pasado. En ambos casos, los protocolos explotados respondieron erróneamente a los contratos falsos.

Poco después de que el exploit tuviera éxito, el atacante "sacudió" a los implementadores de Alpha y Iron Bank 1000 Ether cada uno, y también donó Gitcoin.

Cream Finance dijo en un comunicado en Twitter que la hazaña de Iron Bank no afectó a ninguno de sus otros contratos y que sus mercados monetarios estaban funcionando normalmente:

¿Protocolo de rescate?

Ahora surge la pregunta de cómo se compensará a los usuarios si los protocolos no pueden presionar a su "principal sospechoso" para que devuelva los fondos.

El equipo de Yearn.Finance y MakerDAO sentaron un precedente con “DAO para rescatar a los DAO” la semana pasada cuando MakerDAO autorizó la creación de una posición de deuda garantizada a medida a partir del flujo de caja recién creado de Yearn.

Si bien el tamaño del exploit es más que los $ 11 millones que sufrió Yearn, algunos han especulado que Alpha también imprimirá tokens para cubrir la pérdida, y algunos comerciantes e instituciones ya se han posicionado para tal dilución.

Los monitores de actividad del canal intrépidos notaron que Three Arrows Capital envió más de $ 3 millones en tokens ALPHA a Binance esta mañana, posiblemente con la intención de vender:

Actualmente, ALPHA, el token de gobernanza del protocolo que sufrió las pérdidas, ha bajado un 20% a $ 1,83; CREAM, el token de gobernanza para el protocolo que habilitó el exploit, bajó un 16% a $ 222; AAVE, el token de gobernanza de protocolo utilizado por el operador para un préstamo flash, bajó un 2% a $ 505.