Неустановленные хакеры нашли уязвимость на DeFi-платформе Alpha Homora, которая была пропущена разработчиками и аудиторами безопасности из команды Quantstamp. Баг позволил злоумышленникам многократно оформить и погасить ссуды на межсетевом протоколе Iron Bank, получая каждый раз кредитные средства, в два раза превышающие размер залога.
По данным The Block, хакеры получили flash-кредит 1,8 млн USDC на платформах Aave v2, который был впоследствии увеличен до 10 млн USDC.
Средства были обменены на стаблкоины другого вида sUSD, размещенные на депозите DeFi-платформы Alpha Homora. Этот депозит отправлялся, как залог по новому кредиту, оформленному в Iron Bank – межсетевом протоколе Cream Finance, работающим с различными DeFi-проектами.
Эксплойт Alpha Homora позволял «увеличивать» количество sUSD, получая взамен большее количество стаблкоинов другого вида cySUSD. Они обменивались на Aave на sUSD для погашения flash-кредита, излишек обменивался на WETH и выводился через миксер Tornado.Cash.
По независимой оценке, хакерам удалось многократно повторить операцию и вывести $37,5 млн до обнаружения атаки разработчиками Alpha Homora. Злоумышленники вернули им обратно 1000 ETH в виде благотворительного взноса. Еще 100 ETH они пожертвовали создателям миксера Tornado.Cash, позволяющего анонимизировать транзакции на платформе Ethereum.
Стартап Alpha Finance Lab сообщил, что похищенные средства будут покрыты совместными усилиями с yEarn.Finance, в чью структуру входит Cream.Finance. Средства пользователей платформы находятся в безопасности, но возможность получения ссуд временно закрыта до полного расследования инцидента.