事件背景
CreamFinance是建立在智能合约基础上的开放普惠的金融体系。通过以方便快捷的方式在线提供消费贷款,是一个利用流动性挖矿的去中心化借贷和交易平台。
北京时间2020年2月13日,CreamFinance官方推特称出现黑客盗币事件,并表示随后会披露漏洞细节。
随后零时科技安全团队立刻对该安全事件进行复盘分析。
事件分析
通过分析此事件,该次攻击由0x905315602ed9a854e325f692ff82f58799beab57合约地址完成,目前该地址已被标记为盗币者地址,并存在多次攻击交易,如图:
资管公司Incrementum AG合伙人:比特币抢了黄金的风头:7月7日消息,投资管理公司Incrementum AG的管理合伙人Ronald-Peter Stoeferle认为,随着两种资产争夺价值储存假定地位,比特币近年来的增长已经超过了黄金。
他在接受Finews Asia 7月7日发布的采访时表示,比特币覆盖面的扩大将在一定程度上促使其成为一种避险投资,尤其是在机构投资者的参与下。Stoeferle称,对比特币的日益关注,促使一些投资者最终发现了黄金作为一种储存财富的资产。
Stoeferle补充说,一旦目前99%的加密货币从市场上消失,比特币将完全站稳自己的地位。他强调,比特币与市场上的其他加密货币有明显区别,它是作为货币技术和类似黄金的金融升级而发展的。(Finbold)[2022/7/7 1:58:00]
Cream Finance宣布以太坊上C.R.E.A.M.将下线COVER:9月5日消息,Cream Finance发推表示,以太坊上C.R.E.A.M.将下线COVER,目前已暂停COVER市场供应/借贷。Cream Finance提醒用户取回并偿还COVER代币。[2021/9/5 23:01:39]
主要攻击的6笔交易如下:
1.攻击者通过杠杆不断借款,最终获得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
Gate.io 将于今日12:00开通CRE/USDT交易:据官方公告,Gate.io投票上币空投福利第173期 Carry (CRE)投票上币活动结束, 本次活动参与人数为 4,775,共投出19,634,506票。票数已超过1000万,符合上币要求。Gate.io已为用户空投549,930 CRE,并将于8月06日(今日)中午12:00 开通CRE/USDT交易与开通提现服务。CRE空投福利活动正在进行中。[2021/8/6 1:39:20]
2.攻击者继续进行借款并获得cySUSD。
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
外媒:Cream Finance是否取消FTT为抵押品引发社区大量争议:在过去的几天中,有关Alameda和Sam Bankman-Fried(SBF)使用去中心化交易平台FTX的FTT代币借入资产进行卖空操作,引发了大量公开辩论和质疑。最初人们指责FTX的首席执行官SBF借YFI破坏了它的价格,然后在交易所卖出。随后,人们意识到,8000万美元的FTT 正被用作CREAM的抵押品。社区中很多人质疑,尽管FTT在加密货币市场上并不受欢迎,但为何会被添加到Cream Finance中。更重要的是,很多人都对Cream Finance的风险进行了抨击,因为它把40%的抵押资产放在了一个不受欢迎的交易所代币上。这个问题在网上引发了激烈的讨论,导致了一场治理快照投票,以决定是否将FTT从CREAM中删除。然而,与社交媒体平台上的强烈反对相反,截至发稿时只有24.34%的人投票赞成取消FTT,而超过40%的人投票赞成通过降低FTT的借贷能力来“部分”取消FTT。而SBF声称取消FTT将“大幅降低借贷需求,贷款机构将不再获得利息,总锁仓量(TVL)将大幅下降”。SBF表示,单一资产风险并不是CREAM最大的风险。相反,他声称在这个平台上上市的DeFi代币“风险要大得多”。(AMBCrypto)[2020/10/11]
3.攻击者借出180万USDC,之后通过Curve.fi将USDC兑换为sUSD,最终获得cySUSD,并继续利用杠杆翻倍借款sUSD。最后偿还闪电贷。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻击者继续借出1000万USDC,通过兑换等操作获取cySUSD,并继续利用杠杆翻倍借款sUSD,最后偿还闪电贷。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻击者再次借出1000万USDC,通过兑换等操作获取cySUSD,最后归还闪电贷。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻击者利用自己得到的大量cySUSD资产,从Cream.Finance中借出多个数字资产,完成攻击获利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
总结
本次盗币是攻击者利用零抵押跨协议贷款的缺陷进行漏洞攻击,通过不断的利用杠杆来增加借款的金额,增加流动性,兑换为cySUDC,并通过多次操作获取大量cySUDC从而最终借出自己想要的资产。
安全建议
DeFi今年确实备受关注,黑客攻击也不断发生,类似CreamFinance这样的项目,包括creamfinance,alphafinance均受到不同程度的黑客攻击。针对频频发生的黑客攻击事件,我们给出的安全建议就是:
在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计;
可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞;
加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。