Для взлома протокола хакеры использовали сервис под названием Iron Bank проекта CREAM Finance, который позволяет выдавать необеспеченные кредиты доверенным смарт-контрактам. Преступники смогли сделать так, что основной смарт-контракт Alpha Homora принял смарт-контракт, разработанный злоумышленниками, за собственный. После этого они использовали данный смарт-контракт для получения кредита в проекте CREAM Finance на $37.5 млн в ETH.
Одним из условий получения кредита в CREAM Finance является либо наличие средств в хранилищах проекта, которых достаточно для покрытия кредита, либо страховки. В хранилище Alpha Homora находится токенов ALPHA на сумму $1.6 млрд, поэтому кредит был одобрен без дополнительных проверок. Пока что неизвестно, будут ли использованы данные токены для уплаты кредита.
Dear Alpha community, we've been notified of an exploit on Alpha Homora V2. We're now working with @AndreCronjeTech and @CreamdotFinance together on this.
The loophole has been patched.
We're in the process of investigating the stolen fund, and have a prime suspect already.
— Alpha Venture DAO (Previously Alpha Finance Lab) (@AlphaVentureDAO) February 13, 2021
Разработчики Alpha Homora сообщают, что уязвимость была обнаружена и закрыта, так что хакеры уже не смогут повторить взлом. Сейчас идет расследование инцидента совместно с CREAM Finance и основателем протокола Yearn.Finance Андре Кронье.