En una de las hazañas más grandes de la era DeFi, esta mañana un atacante drenó con éxito más de $ 37 millones de Alpha Homora aprovechando la plataforma de préstamos de protocolo a protocolo de Iron Bank de Cream.

Alpha Finance Lab, cuyo protocolo fue auditado por Quantstamp y Peckshield, anunció en Twitter esta mañana que estaban al tanto de un ataque, que la «laguna jurídica» que lo permitía había sido reparada y que el equipo tenía un «principal sospechoso»:

La transacción del exploit es notablemente compleja. El atacante utilizó Alpha Homora para pedir prestado y prestar repetidamente con Iron Bank, lo que permite préstamos apalancados. Algunos analistas han especulado que un «hechizo» falso (término de Alpha para un contrato inteligente) es lo que habilitó el exploit:

Este exploit de «hechizo / contrato falso» se hace eco conceptualmente del ataque del «tarro malvado» contra Pickle Finance que le valió a un atacante $ 20 millones a fines del año pasado. En ambos casos, los protocolos explotados respondieron erróneamente a contratos falsificados.

Poco después del exitoso exploit, el atacante «dio una propina» a los implementadores de Alpha y Iron Bank 1,000 Ether cada uno, y también hizo una donación de Gitcoin.

Cream Finance dijo en un comunicado en Twitter que la explotación de Iron Bank no afectó a ninguno de sus otros contratos y que sus mercados monetarios estaban funcionando normalmente:

¿Protocolo de rescate?

La pregunta ahora gira en torno a cómo se compensará a los usuarios en caso de que los protocolos no puedan presionar a su «principal sospechoso» para que devuelva los fondos.

El equipo de Yearn.Finance y MakerDAO sentaron un precedente con los “DAO rescatando a los DAO” la semana pasada cuando MakerDAO permitió la creación de una posición de deuda garantizada a medida a partir de la tesorería recién acuñada de Yearn.

Si bien el tamaño del exploit es mayor que los $ 11 millones que sufrió Yearn, algunos han especulado que Alpha también imprimirá tokens para cubrir la pérdida, y algunos comerciantes e instituciones ya se han posicionado para tal dilución.

Los monitores de actividad de la cadena intrépidos notaron que Three Arrows Capital envió más de $ 3 millones en tokens ALPHA a Binance esta mañana, posiblemente con la intención de vender:

Actualmente, ALPHA, el token de gobernanza del protocolo que sufrió las pérdidas, ha bajado un 20% a $ 1,83; CREAM, el token de gobierno del protocolo que habilitó el exploit, bajó un 16% a $ 222; AAVE, el token de gobierno del protocolo que el explotador usó para un préstamo flash, bajó un 2% a $ 505.