当前位置:首页DEFIDeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅

DeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅

2月13日下午4点左右,DeFi借贷平台Cream Finance官方推特发布消息称,

“我们意识到一个潜在的漏洞,并正在对此进行调查。 感谢您在我们进行调查时的支持。”

根据ICO *ytics分析,在这次攻击中,攻击者利用Cream Finance的铁金库转走13000多个ETH。0x905315602Ed 开头地址在 ETHerscan 上已被标记为「Cream Finance Iron Bank Exploiter」,该地址部分资产已发送至以太坊隐私交易平台 Tornado.Cash 进行混币交易,此外还向杠杆挖矿协议 Alpha Homora 部署者发送了 1000 ETH,向 Cream Finance 发送了 1000 ETH,向 Tornado grant 发送了 100 ETH,该地址目前持有超 1353 万美元的 ERC 20 代币。

不过,此次攻击的发生并不是因为Cream Finance合约出现问题,而是攻击者通过Alpha Homora V2的漏洞完成的,漏洞出现在Ironbank的Alpha一端。

DeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅

Cream最初发布推文称,CREAM v1 资金是安全的,将暂停 IronBank 资产借款。但官方之后删除了这条推文后补充道,调查发现,Cream的合约和市场运作正常。V1 和 V2 市场均已重新启用。随后将披露漏洞细节。

The Block研究分析师Igor Igamberdiev在推特上分析了这次攻击的过程:

“Cream的Ironbank被黑客盗走3750万美元,让我们看看发生了什么。

1.攻击者使用Alpha Homora从IronBank借入sUSD。在攻击过程中,他们每次借的钱是前一次的两倍。

DeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅1

2.他们通过两次交易来完成此操作,每次借出资金并还给IronBank,同时接收cySUSD。

DeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅2

3.在攻击过程中,攻击者从Aave v2那里获得了180万美元的USDC闪电贷,并使用Curve将USDC兑换为sUSD。

4.他们将这些sUSD借给IronBank,从而使他们可以继续从IronBank借入和借出cySUSD。

5.当然,sUSD被用来偿还闪电贷。

DeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅3

6.此外,还获得了1000万美元的闪电贷,也用于增加cySUSD的数量。

7.**,他们的cySUSD数量达到了令人难以置信的数量,这使他们可以从IronBank借钱。

DeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅4

8.然后他们借入:

– 13200 WETH

– 360万 USDC

– 560万USDT

– 420万 DAI

DeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅5

9. 这些稳定币然后被存入Aave v2,1000ETH发送给IronBank合约部署者,1000ETH发送到Homora合约部署者,220 ETH发送到Tornado Cash,100 ETH发送给gitcoin并资助给Tornado,还剩大约11000 ETH仍处于攻击者地址余额。

DeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅6

Alpha Finance Lab之后发推称,我们收到关 Alpha Homora V2 被攻击的通知,现在正在与 Andre Cronje 和 Cream.Finance 共同应对。漏洞已修复,正在调查被盗资金,已经锁定了主要嫌疑人。用户无法从 Alpha Homora v2 借入更多资金等于没有新的杠杆头寸,只能在现有头寸上借入。V1 在安全运行,我们正处于高度戒备状态,区块链安全研究员 samczsun 和其他人正在调查问题,随后将披露更多信息。

DeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅7

又是闪电贷?

在这次攻击中,我们再次看到了闪电贷的身影。有网友表示,什么时候能够把闪电贷这种东西关掉?并@AAVE创始人Stani Kulechov。

Kulechov回应称,这些攻击可以在闪电贷的情况下完成,实际上,闪电贷实际上是在帮助协议变得更有弹性,并且大多数闪电贷被消耗在诸如@DeFiSaver 再融资和去杠杆工具。

2月5日,Yearn Finance v1 版本的 yDAI 机*池被黑客攻击,损失了1100万美元,黑客同样在攻击中利用了闪电贷。

而在此前发生的各种DeFi黑客事件中,闪电贷的身影从未消失。闪电贷提供的******带来了很多便利,但是这种便利同样属于黑客。如何防御闪电贷攻击应该是每一个相关DeFi协议需要重视的。

温馨提示:

文章标题:DeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅

文章链接:https://www.btchangqing.cn/193899.html

更新时间:2021年06月12日

本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。

区块链

“大叔”yfi价格破新高推手还是灰色?

2021-2-13 21:31:50

区块链

狗狗币要成下一个游戏驿站?创始人:我对暴涨无法理解

2021-2-13 21:36:00

20 条回复 A文章作者 M管理员
  1. JAR

    然并软~哈哈哈

  2. 3730

    币安厉害了

  3. omom

    哈哈~关注

  4. 粒粒橙

    我拉的屎也支持比特币购买,要的赶紧下订。

  5. 吉祥子

    支持币安

  6. 丽人

    越来越多的企业购买比特币,稳健(???)

  7. 雲

    比特币在哪个平台买卖

  8. yoyo

    不错不错

  9. 币侠

    好事情啊

  10. 启琛论币

    真它媽的夠狠比特币

  11. Mr黄

    楼主出门来财,儿孙满堂!区块链

  12. 比特币课堂

    整个行业未来是好的,币圈会不会被取缔难说

  13. 王鹏

    利好出尽..你懂的

  14. Ryna

    顶!!!!!!!!!!!!!!!!!!!!!!!!!

  15. 宁静致远

    昨晚空狗被打惨了.

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索