تحليل بروتوكول يالا: اختراق USDC وتكهنات حول استعادة الأموال وخسائر إيولر

ملخص النقاط الرئيسية

• تحليل استعادة الأموال المحتملة بعد اختراق 7.64 مليون دولار من USDC.
• فحص دور قروض إيولر والتناقضات المحتملة في استخدامها.
• تتبع حركة YBTC وYU لتحديد المخاطر المحتملة.
• تكهنات حول تورط فريق يالا في الاختراق واستغلال الأموال.
• تحديد المستفيدين النهائيين من الاختراق والخسائر التي تكبدها أصحاب المصلحة.

تحليل معمق لاختراق USDC لبروتوكول YALA

التناقضات الأولية

1. قد لا يكون لدى YALA ما يكفي من YBTC لضمان YU المستخدمة في Euler.
2. قد لا تكون السيطرة الفعلية على BTC المقابل لـ YBTC ضمن سيطرة YALA (على سبيل المثال، اتفاقية سرية).

استعادة الأموال

1. قد لا يكون لدى المشروع أي خطط للاستعادة، وسيتم استخدام الأموال المستردة لسداد الأموال الخاصة أولاً.
2. قد تكون الجدارة الائتمانية للتمويل المخطط لها قد حالت دون حصولهم على أموال إضافية، أو أن الخسائر الأخرى تتجاوز 2.14 مليون دولار أمريكي.

تحليل بيانات YBTC وYU

• العنوان A: قام بسك 39.35 مليون YU، وسدد 17 مليون YU، بصافي ديون يبلغ حوالي 22 مليون YU، ورصيد عنوان يبلغ 2.4 مليون YU.
• العنوان B: قام بسك 43.57 مليون YU، وسدد 10 ملايين YU، بصافي ديون يبلغ 33.57 مليون YU، ورصيد عنوان يبلغ 2.77 مليون YU. تم تحويل معظم YU الخاص بالعنوان B (حوالي 30.15 مليون) إلى العقد 0x9593807414، وهو مجمع الاستقرار الخاص بـ Yala. يعرض مجمع الاستقرار حاليًا إجمالي ودائع يبلغ 32.8 مليون YU. هذا يعني أن العنوان B طبيعي تمامًا أيضًا.
• العنوان C: قام بسك 32.5 مليون YU بشكل تراكمي، وسدد 33.3 مليون YU بشكل تراكمي، وقام بالفعل بإتلاف YBTC واستعادة BTC. كل سلوك المعاملات طبيعي.

العنوان A: نقطة الضعف المحتملة

التكهنات حول دور فريق يالا

1. حصلت YALA بطريقة ما على ما يقرب من 500 YBTC غير قانونية (مما يعني أن YALA ليس لديها سيطرة حقيقية على 500 BTC المقابلة لها)، واستخدمت 500 YBTC لسك 28 مليون YU (دعونا نسميها YU غير قانونية مؤقتًا). ربما تم استخدام YU غير القانونية هذه لأغراض أخرى في الماضي، مثل الحصول على عمليات إسقاط جوي، وتوفير سيولة DEX، والإيداع في Pendle، لكن هذا ليس مهمًا. السبب في أنني أعتقد أن 500 YBTC غير قانونية بسيط للغاية: إذا كان لديك 50 مليون دولار أمريكي من BTC تحت تصرفك، فلن تتحمل قرضًا عالي الفائدة مقابل احتياجات تمويلية بقيمة 7.64 مليون دولار أمريكي.
2. بعد أن سرق المتسللون 7.64 مليون USDC، استخدمت YALA جزءًا من YU غير القانونية للحصول على قرض بقيمة 4.9 مليون دولار أمريكي من Euler، وقدمت أيضًا بعض أموالها الخاصة، في محاولة لإعادة البروتوكول إلى المسار الصحيح. تتمثل إحدى المشكلات هنا في أن الأموال الخاصة التي أعلن عنها البروتوكول والبالغة 5.5 مليون دولار أمريكي + القرض غير القانوني البالغ 4.9 مليون دولار أمريكي يتجاوزان إجمالي فجوة التمويل البالغة 7.64 مليون دولار أمريكي، وهناك العديد من الاحتمالات المحتملة، مثل تضخيم قيمة 5.5 مليون دولار أمريكي، أو إعادة جزء من قرض Euler إلى مزود 5.5 مليون دولار أمريكي.
3. بعد القبض على المتسللين، وبسبب بعض العوامل، كانت الأموال القابلة للاسترداد أقل بكثير من 7.64 مليون دولار أمريكي، مثل 4.9 مليون دولار أمريكي المذكورة سابقًا (مع الأخذ في الاعتبار إجراءات التصرف، فإن الأموال القابلة للاسترداد الحقيقية أقل). في هذه الحالة، سيظل بروتوكول YALA يتحمل خسارة تزيد عن 2.7 مليون دولار أمريكي. في هذه الحالة، اختار العنوان A التخلف عن السداد، ونقل الخسارة إلى Euler، ولكن على حساب إفلاس بروتوكول YALA والتوقف عن العمل.
4. من هو المحرض؟ كما ذكرنا سابقًا، يتم التحكم في أكثر من 99٪ من YALA وYU من قبل ثلاثة عناوين (بالإضافة إلى مودع bfBTC). لم يكن لدى العنوان B والعنوان C أي تدفقات صافية داخلة أو خارجة من YU، ولم يكن لهما أي علاقة بالحادث بأكمله. لن يتعرض مودعو BTC أيضًا لخسائر، فهم بحاجة فقط إلى سداد YU واستعادة BTC الخاص بهم. الخاسرون هم حاملو YU وأصولها المشتقة، بالإضافة إلى مودعي Euler. وتدفقت هذه الأموال إلى العنوان A، والمستفيدون النهائيون هم فريق YALA، الذين نقلوا الخسارة إلى المستخدمين، وحتى إذا قام الفريق بتهريب مبلغ 4.9 مليون دولار أمريكي المصادرة قضائيًا، فسيظلون يكسبون منه. بالطبع، كل ما سبق يعتمد على أن التخمين صحيح، أي أن العنوان A ينتمي إلى فريق YALA.