によって書かれた: 0xLoki 発表によれば、ハッカーは764万USDCを盗み、チームは550万ドルの自己資金を注入し、Eulerプラットフォームを通じて追加の流動性を得た。この方法で計算すると、Eulerを通じて得られた追加の流動性は約214万ドルとなる。 ここに最初の疑問点が現れました:YUはYBTCを担保にして鋳造され、Eulerを通じて214万ドルを取得していますが、これはプロトコルがEulerに214万ドル以上のYUを担保にしていることを意味し、その背後には少なくとも300万ドル以上のBTCが担保として存在するということでしょうか? もしこの300万ドルのBTCがYALAチームに属しているのなら、なぜBTCを直接Uに交換せず、Eulerから高い金利で借りるのですか? 私が考えられる状況は2つあります:①YALAがEulerに担保として使用するYUが十分なYBTCを持っていない。②この部分のYBTCに対応するBTCの実際の管理権はYALAには属しない(例えば、ある種の引き出し契約のようなもの)。 公告は、いくつかの資産が取引再開前にイーサリアムに交換されていたが、その後の価格下落と攻撃者が投入した資金により、実際の回復価値が低下したことも述べています。 ここに第二の疑問点が現れました:ETH 3000 Uの価格で計算すると、ハッカーに盗まれた資金の一部は約490万ドルで、つまり回収資金 + 自社の550万ドル>764万ドルの赤字になります。このような状況で、プロジェクト側はなぜ214万ドルの資金調達またはブリッジローンを他の形で得ることができなかったのでしょうか?結局のところ、回収資金後にはプロジェクト側は支払い能力があるのです。 私が考えられる状況は三つあります:①プロジェクト側には回復の計画がなく、資金の回収も自前の資金の返済が優先される。②プロジェクトの資金調達の信用がすでに追加の資金を得ることができず、あるいは他の面での損失が214万ドルをはるかに上回っている。 次に YBTC のデータをさらに追跡すると、99% の YBTC が 3 つのアドレスによって制御されていることがわかります。これは 99% の YU がこれらの 4 つのアドレスによって制御されていることを意味します。とりあえず、これらをアドレス A、アドレス B、アドレス C と名付けておきます。 次に、各アドレスの行動を一つずつ分析します。 アドレス A:3935 万 YU を鋳造し、1700 万 YU を返済し、純負債は約 2200 万 YU、アドレス残高は 240 万 YU。 アドレス B:4357 万 YU を鋳造し、1000 万 YU を返済し、純負債は 3357 万 YU、アドレス残高は 277 万 YU。アドレス B の大部分の YU(約 3015 万)がコントラクト 0 x 9593807414 に流入しており、このアドレスは Yala の Stability Pool で、現在の Stability Pool に表示されている預金総額は 3280 万 YU です。これは、アドレス B も完全に正常であることを意味します。 アドレス C:累計鋳造 3250 万 YU、累計返済 3330 万 YU、そして YBTC をすでに焼却し、BTC を取り戻しました。すべての取引行為は正常です。 明らかに、問題はアドレスAにあります。引き続き調査しましょう。アドレスAの取引は非常に複雑ですが、全体として、このアドレスは2800万YUをネットで鋳造し、他のアドレスを通じて追加のYUを得ました。そのYUの大部分はすでにさまざまなプロトコルに流出しています。 Dabank から他の興味深いデータを見ることができます。このアドレスは大量の YU と PT を担保にしており、Euler から 493 万ドルの USDT と USDC を借りています。明らかに、この 3 件のローンは YU の価格が 0.15 ドルに下落した後、実質的にデフォルトしています。 このアドレスは12日前に、少量のUを使ってYALAを購入し、Eulerに部分的に返済しました。 チームが「550万ドルを注入した」と言及し、Eulerプラットフォームを通じて追加の流動性を得たことを考慮すると、このアドレスはおそらくチームの操作アドレスであり、私たちは現在、チームがEulerから約490万ドルの流動性を得たことを知っています。 ここは仕切り線です。上記は客観的なデータと事実であり、次の内容は私の推測であり、必ずしも正確ではありません。 (1)YALAは、何らかの方法で約500の不正なYBTCを取得しました(これは、YALAが対応する500のBTCに実質的な管理権を持っていないことを意味します)そして、この500のYBTCを使って2800万のYUを鋳造しました(ここではこれを不正なYUと呼びます)。 これらの違法な YU は、過去にエアドロップを取得したり、DEX に流動性を提供したり、Pendle に預けたりするために使用された可能性がありますが、それは重要ではありません。 私がこの500のYBTCが違法である理由は非常に簡単です。もしあなたが5000万ドルの自由に使えるBTCを持っているなら、764万ドルの資金需要のために高金利のローンを負担することはないでしょう。 (2)ハッカーが764万USDCを盗んだ後、YALAは不正に得たYUの一部を使用してEulerから約490万ドルのローンを取得し、さらに一部の自己資金を提供して、プロトコルを正しい軌道に戻そうとしました。 ここでの問題は、プロトコルが主張する550万ドルの自己資金と490万ドルの違法ローンが合計764万ドルの資金不足を超えていることです。潜在的な可能性も多く、例えば550万ドルの数値が誇張されている、またはEulerローンの一部が550万ドルの提供者に返還されている可能性があります。 (3)ハッカーが逮捕された後、いくつかの要因により、回収可能な資金は764万ドルを大幅に下回ることになり、例えば前述の490万ドル(処分プロセスを考慮すると、実際の回収可能資金はさらに少ない)です。この場合、YALAプロトコルは270万ドル以上の損失を被ることになります。 この場合、アドレスAはデフォルトを選択し、損失をEulerに移転しましたが、その代償としてYALAプロトコルは破産し、運営を停止しました。 (4)始作俑者は誰ですか?以前述べたように、99%以上のYALAとYUは3つのアドレス(さらに1つのbfBTC入金者)によって行われており、そのうちのアドレスBとアドレスCには、YUの純流入や純流出が一切ありません。彼らは全体の事態には関与していません。 BTCの預金者は損失を被ることはなく、ただYUを返済し、自分のBTCを取り戻すだけで済みます。損失を被るのはYUおよびその派生資産の保有者、Eulerの預金者です。 そして、これらの資金はアドレスAに流れ、最終的な受益者はYALAチームです。彼らは損失をユーザーに転嫁し、さらにチームが司法処分された490万ドルを私的に懐に入れることができれば、そこからさらに利益を得ることができます。もちろん、これらすべては推測に基づいており、つまりアドレスAがYALAチームに属しているという前提の上で成り立っています。
Yalaの障害の真実:チーム資金の不正流用とユーザー損失の移転
によって書かれた: 0xLoki
発表によれば、ハッカーは764万USDCを盗み、チームは550万ドルの自己資金を注入し、Eulerプラットフォームを通じて追加の流動性を得た。この方法で計算すると、Eulerを通じて得られた追加の流動性は約214万ドルとなる。
ここに最初の疑問点が現れました:YUはYBTCを担保にして鋳造され、Eulerを通じて214万ドルを取得していますが、これはプロトコルがEulerに214万ドル以上のYUを担保にしていることを意味し、その背後には少なくとも300万ドル以上のBTCが担保として存在するということでしょうか?
もしこの300万ドルのBTCがYALAチームに属しているのなら、なぜBTCを直接Uに交換せず、Eulerから高い金利で借りるのですか?
私が考えられる状況は2つあります:①YALAがEulerに担保として使用するYUが十分なYBTCを持っていない。②この部分のYBTCに対応するBTCの実際の管理権はYALAには属しない(例えば、ある種の引き出し契約のようなもの)。
公告は、いくつかの資産が取引再開前にイーサリアムに交換されていたが、その後の価格下落と攻撃者が投入した資金により、実際の回復価値が低下したことも述べています。
ここに第二の疑問点が現れました:ETH 3000 Uの価格で計算すると、ハッカーに盗まれた資金の一部は約490万ドルで、つまり回収資金 + 自社の550万ドル>764万ドルの赤字になります。このような状況で、プロジェクト側はなぜ214万ドルの資金調達またはブリッジローンを他の形で得ることができなかったのでしょうか?結局のところ、回収資金後にはプロジェクト側は支払い能力があるのです。
私が考えられる状況は三つあります:①プロジェクト側には回復の計画がなく、資金の回収も自前の資金の返済が優先される。②プロジェクトの資金調達の信用がすでに追加の資金を得ることができず、あるいは他の面での損失が214万ドルをはるかに上回っている。
次に YBTC のデータをさらに追跡すると、99% の YBTC が 3 つのアドレスによって制御されていることがわかります。これは 99% の YU がこれらの 4 つのアドレスによって制御されていることを意味します。とりあえず、これらをアドレス A、アドレス B、アドレス C と名付けておきます。
次に、各アドレスの行動を一つずつ分析します。
アドレス A:3935 万 YU を鋳造し、1700 万 YU を返済し、純負債は約 2200 万 YU、アドレス残高は 240 万 YU。
アドレス B:4357 万 YU を鋳造し、1000 万 YU を返済し、純負債は 3357 万 YU、アドレス残高は 277 万 YU。アドレス B の大部分の YU(約 3015 万)がコントラクト 0 x 9593807414 に流入しており、このアドレスは Yala の Stability Pool で、現在の Stability Pool に表示されている預金総額は 3280 万 YU です。これは、アドレス B も完全に正常であることを意味します。
アドレス C:累計鋳造 3250 万 YU、累計返済 3330 万 YU、そして YBTC をすでに焼却し、BTC を取り戻しました。すべての取引行為は正常です。
明らかに、問題はアドレスAにあります。引き続き調査しましょう。アドレスAの取引は非常に複雑ですが、全体として、このアドレスは2800万YUをネットで鋳造し、他のアドレスを通じて追加のYUを得ました。そのYUの大部分はすでにさまざまなプロトコルに流出しています。
Dabank から他の興味深いデータを見ることができます。このアドレスは大量の YU と PT を担保にしており、Euler から 493 万ドルの USDT と USDC を借りています。明らかに、この 3 件のローンは YU の価格が 0.15 ドルに下落した後、実質的にデフォルトしています。
このアドレスは12日前に、少量のUを使ってYALAを購入し、Eulerに部分的に返済しました。
チームが「550万ドルを注入した」と言及し、Eulerプラットフォームを通じて追加の流動性を得たことを考慮すると、このアドレスはおそらくチームの操作アドレスであり、私たちは現在、チームがEulerから約490万ドルの流動性を得たことを知っています。
ここは仕切り線です。上記は客観的なデータと事実であり、次の内容は私の推測であり、必ずしも正確ではありません。
(1)YALAは、何らかの方法で約500の不正なYBTCを取得しました(これは、YALAが対応する500のBTCに実質的な管理権を持っていないことを意味します)そして、この500のYBTCを使って2800万のYUを鋳造しました(ここではこれを不正なYUと呼びます)。
これらの違法な YU は、過去にエアドロップを取得したり、DEX に流動性を提供したり、Pendle に預けたりするために使用された可能性がありますが、それは重要ではありません。
私がこの500のYBTCが違法である理由は非常に簡単です。もしあなたが5000万ドルの自由に使えるBTCを持っているなら、764万ドルの資金需要のために高金利のローンを負担することはないでしょう。
(2)ハッカーが764万USDCを盗んだ後、YALAは不正に得たYUの一部を使用してEulerから約490万ドルのローンを取得し、さらに一部の自己資金を提供して、プロトコルを正しい軌道に戻そうとしました。
ここでの問題は、プロトコルが主張する550万ドルの自己資金と490万ドルの違法ローンが合計764万ドルの資金不足を超えていることです。潜在的な可能性も多く、例えば550万ドルの数値が誇張されている、またはEulerローンの一部が550万ドルの提供者に返還されている可能性があります。
(3)ハッカーが逮捕された後、いくつかの要因により、回収可能な資金は764万ドルを大幅に下回ることになり、例えば前述の490万ドル(処分プロセスを考慮すると、実際の回収可能資金はさらに少ない)です。この場合、YALAプロトコルは270万ドル以上の損失を被ることになります。
この場合、アドレスAはデフォルトを選択し、損失をEulerに移転しましたが、その代償としてYALAプロトコルは破産し、運営を停止しました。
(4)始作俑者は誰ですか?以前述べたように、99%以上のYALAとYUは3つのアドレス(さらに1つのbfBTC入金者)によって行われており、そのうちのアドレスBとアドレスCには、YUの純流入や純流出が一切ありません。彼らは全体の事態には関与していません。
BTCの預金者は損失を被ることはなく、ただYUを返済し、自分のBTCを取り戻すだけで済みます。損失を被るのはYUおよびその派生資産の保有者、Eulerの預金者です。
そして、これらの資金はアドレスAに流れ、最終的な受益者はYALAチームです。彼らは損失をユーザーに転嫁し、さらにチームが司法処分された490万ドルを私的に懐に入れることができれば、そこからさらに利益を得ることができます。もちろん、これらすべては推測に基づいており、つまりアドレスAがYALAチームに属しているという前提の上で成り立っています。