En uno de los mayores exploits de la era DeFi, esta mañana un atacante ha conseguido drenar más de USD 37 millones de Alpha Homora aprovechando la plataforma de préstamos de protocolo a protocolo Iron Bank de Cream.

Alpha Finance Lab, cuyo protocolo fue auditado por Quantstamp y Peckshield, anunció esta mañana vía Twitter que tenían conocimiento de un ataque, que el error que lo permitió había sido parcheado y que el equipo ya tenía un "principal sospechoso":

La transacción del exploit es muy compleja. El atacante utilizó Alpha Homora para pedir y prestar varias veces utilizando la función Iron Bank, que permite realizar préstamos apalancados. Algunos analistas han especulado con la posibilidad de que un "hechizo" falsificado (el término de marca de Alpha para un contrato inteligente) es lo que permitió que ocurriera el incidente:

Este ataque de "hechizo/contrato falso" se parece conceptualmente al ataque de "tarro malo" contra Pickle Finance, que le reportó a un atacante USD 20 millones a finales del año pasado. En ambos casos, los protocolos afectados respondían erróneamente a contratos falsos.

Al poco tiempo de que el exploit tuviera éxito, el atacante "dio una propina" de 1,000 Ether a cada uno de los desplegadores de Alpha y Iron Bank, y también hizo una donación de Gitcoin.

Cream Finance dijo en un comunicado en Twitter que el exploit de la función Iron Bank no afectó a ninguno de sus otros contratos, y que sus mercados monetarios estaban funcionando con normalidad:

¿Protocolo de compensación?

La pregunta ahora es cómo se compensará a los usuarios en caso de que los protocolos no puedan presionar a su "principal sospechoso" para que devuelva los fondos.

El equipo de Yearn.Finance y MakerDAO sentaron un precedente con una "DAO rescatando a otra DAO" la semana pasada cuando MakerDAO permitió la creación de una posición de deuda colateralizada a la medida de la tesorería recién creada de Yearn.

Mientras que el tamaño del ataque supera los USD 11 millones que sufrió Yearn, algunos han especulado que Alpha igualmente emitirá tokens para cubrir las pérdidas, y algunos traders e instituciones ya se han posicionado para tal dilución.

Los monitores de actividad de la cadena de Intrepid notaron que Three Arrows Capital envió más de USD 3 millones en tokens ALPHA a Binance esta mañana, posiblemente con la intención de venderlos:

Actualmente, el precio ALPHA, el token de gobernanza del protocolo que sufrió las pérdidas, ha bajado un 20% a USD 1.83 dólares; CREAM, el token de gobernanza del protocolo que permitió el exploit, ha bajado un 16% a USD 222; AAVE, el token del protocolo que el atacante utilizó para realizar el préstamo flash, ha bajado un 2% a USD 505.

Sigue leyendo: