5.调用sUSD银行的resolveReserve ， 产生19709787742196债务 ， 而totalShare仍为1 。 当前状态：totalDebt=19709787742197 ， 而totalShare=1https://etherscan.io/tx/0x98f623af655f1e27e1c04ffe0bc8c9bbdb35d39999913bedfe712d4058c67c0e；
6.再次使用邪恶spell调用execute到HomoraBankV2 ， 执行（重复16次 ， 每次翻倍借入金额）：借入19709787742196美元并转移给攻击者（每次翻倍 ， 因为每次借入成功totalDebt都翻倍） 。 每次借入都比totalDebt值小1 ， 导致相应的借入份额=0 ， 因此协议将其视为无债务借入 。 在交易结束时 ， 攻击者向Cream的IronBank存入19.54sUSD 。 https://etherscan.io/tx/0x2e387620bb31c067efc878346742637d650843210596e770d4e2d601de5409e3
7.继续这个过程：再次使用邪恶的spell调用execute到HomoraBankV2 ， 执行（重复10次 ， 每次翻倍借来的金额） 。 在交易结束时 ， 攻击者将1321sUSD存入Cream的IronBank ， https://etherscan.io/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4；
8.通过Aave的闪电贷借入1,800,000USDC ， 然后将这1,800,000USDC换成1770757.5625447219047906sUSD ， 并存入Cream以使攻击者有足够的流动资金使用自定义spell借款 ， 继续将sUSD借款翻番 ， 从1322.70sUSD增加到677223.15sUSD（共10倍） 。 将1353123.59sUSD换成1374960.72USDC ， 从Cream借入426659.27USDC（因为攻击者已在步骤b中存入sUSD）https://etherscan.io/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a3200c623f676b3912f9
9.重复步骤8 ， 这次金额大约是1000万USDC ， https://etherscan.io/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e；
10.重复1000万USDC ， https://etherscan.io/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
11.借款13244.63WETH+360万USDC+560万USDT+426万DAI ， 向Aave供应稳定币（以获得aToken ， 因此USDC和USDT不能冻结） ， 向Curvea3Crv池子供应aDAI、aUSDT以及aUSDC ， https://etherscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
12.将a3CrvLP代币添加到Curve的流动性gaugehttps://etherscan.io/tx/0xc60bc6ab561af2a19ebc9e57b44b21774e489bb07f75cb367d69841b372fe896
13.其余的交易将资金发送到TornadoCash以及GitCoinGrants ， 其中有1000ETH被发送到Cream和Alpha的部署者地址 。
这个故事很独特 ， 也令人生疑 。
当涉及到白帽子/黑帽子的活动时 ， 我们总是期待看到角色转换 ， 但是我们很少看到受害者如此清楚地指责 。
几周前促成Yearn和AlphaHomora合作的AndreCronje在谈到这次攻击时写道：
“花点时间研究了这次攻击 ， 9笔交易 ， 4种不同的操纵 ， 其中一种包括精确的债务计算 ， 这需要研究团队花费数小时才能弄清楚 ， Alpha立即采取了措施来缓解漏洞问题 ， 在发现该问题后的几分钟内就解决了它 。 ”
而Banteg的回复是：
“这个事件绝对是疯狂的 ， 不可能有人随便看看合约 ， 尤其是那些未经宣布的东西 ， 就能发现这一点 。 ”
也许这会导致另一起Yearn收购案 ， Cronje的名字在调查报告中被提到了4次 ， 而且这个模式看起来确实很熟悉 。。。
匿名黑客的时代还能持续多久？
由于可能的嫌疑犯名单非常小 ， 因此更容易排除和追踪潜在的攻击者 ， 在这种情况下 ， 名单范围甚至比平常更小 。
在处理代码时 ， “Don’ttrust,verify”是一句极好的口号 ， 但它并不能阻止日益增长的社会偏执症 。 我们正经历一个加密货币和DeFi前所未有的增长时期 ， 在这个时期 ， 不工作的成本是非常高的 。 DeFi开发者的精神负担与日俱增 。
帝国是建立在代码行之上的 ， 金融的未来就在我们眼前 。
开发人员陷入了竞争 ， 而腐败的内部人员则帮助黑客在地下工作 ， 在他们的基础上挖洞 。
当一座塔倒塌时 ， 其他的塔都会看着并学习 。 在尘埃落定之前 ， 人群已经开始前进 ， 而坚韧的的团队会重返赛场 ， 以寻求更强的实力 。
在不可避免的错误导致他们的匿名斗篷掉下之前 ， 他们还能维持多长时间？

• 高档烟酒被盗，警方快速破案
• 《精英危险：奥德赛》任务完整演示 PC Alpha 3月29日开启
• 老版QQ为什么经常被盗号，但现在微信没有却没有
• 价值180万的58瓶茅台酒大年初一被盗 西安警方六天七夜抓获嫌疑人
• 【悬赏公告】奖励两千元， 武穴警方缉捕电动车电瓶被盗案嫌疑人
• 由StarkWare提供支持的dYdX的Layer 2 永续合约alpha版本启动
• 小儿子出生证明被盗，生父栏意外曝光，张柏芝投诉将记者告上法庭
• 七旬老人报警称电动车“被盗”民警多方找寻系其遗忘在早餐点
• 中年|泡完温泉7千元现金被盗 抚州润达天沐才子酒店安全遭质疑
• 复古车身 纯电动SUV Alpha Jax亮相