以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > USDC > Info

Cream Finance協議遭黑客閃電攻擊事件分析_USD

Author:

Time:1900/1/1 0:00:00

事件背景

CreamFinance是建立在智能合約基礎上的開放普惠的金融體系。通過以方便快捷的方式在線提供消費貸款,是一個利用流動性挖礦的去中心化借貸和交易平臺。

北京時間2020年2月13日,CreamFinance官方推特稱出現黑客盜幣事件,并表示隨后會披露漏洞細節。

隨后零時科技安全團隊立刻對該安全事件進行復盤分析。

事件分析

通過分析此事件,該次攻擊由0x905315602ed9a854e325f692ff82f58799beab57合約地址完成,目前該地址已被標記為盜幣者地址,并存在多次攻擊交易,如圖:

Cream閃電貸攻擊報告:關鍵漏洞在于可包裝代幣的價格計算,損失1.3億美元:11月1日消息,抵押借貸平臺 Cream Finance 針對 10 月 27 日閃電貸攻擊發布詳細報告,表示正在與當局合作追蹤攻擊者,此次攻擊損失約 1.3 億美元,將在未來幾天公布詳細的還款計劃。Cream 表示,此次攻擊混合了經濟攻擊和預言機攻擊,攻擊者從 MakerDAO 閃電貸出 DAI 來創建大量 yUSD 代幣,同時通過操縱多資產流動性池,利用價格預言機計算 yUSD 價格,yUSD 價格升高后,攻擊者的 yUSD 頭寸增加,創造了足夠的借入限額來抵消 Cream 以太坊 v1 市場的流動性。Cream 稱已暫停 Cream Finance 中以太坊 v1 市場的所有交互,關鍵漏洞在于可包裝代幣的價格計算,已經停止了所有可包裝代幣的供應 / 借貸,包括所有 PancakeSwap LP 代幣。[2021/11/1 6:24:39]

Gate.io 將于今日12:00開通CRE/USDT交易:據官方公告,Gate.io投票上幣空投福利第173期 Carry (CRE)投票上幣活動結束, 本次活動參與人數為 4,775,共投出19,634,506票。票數已超過1000萬,符合上幣要求。Gate.io已為用戶空投549,930 CRE,并將于8月06日(今日)中午12:00 開通CRE/USDT交易與開通提現服務。CRE空投福利活動正在進行中。[2021/8/6 1:39:20]

主要攻擊的6筆交易如下:

1.攻擊者通過杠桿不斷借款,最終獲得cySUSD。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

聲音 | Morgan Creek創始人:人民幣貶值或將推動比特幣價格持續上漲:Morgan Creek創始人Anthony Pompliano在推特上發文稱,早在2013年塞浦路斯銀行業危機中,資本管制、通貨膨脹和資本外逃一直被證明是推動比特中期價格上漲的重要因素。今年,5月5日,人民幣兌美元開始走弱后,比特幣在一周內突破6500美元;而此前在2015年冬季到2016年冬季人民幣匯率下跌10%,中國比特幣交易所有大量溢價證據表明中國投資者將比特幣用作投資組合套期保值或作為轉移資金的工具。其認為中國投資者今年很可能在比特幣價格上漲中起推動性作用。而今日人民幣自2008年以來首次跌破7,假如只有1%的中國存款進入比特幣,其就將推動加密貨幣總市值翻幾倍。同時其文中也提及,在一些不發達地區,比如委內瑞拉、伊朗、阿根廷和津巴布韋等地區,比特幣交易量出現持續增長。[2019/8/5]

動態 | Cred計劃將部分ERC20 LBA代幣遷移至幣安鏈:據Investorideas報道,5月29日,加密借貸平臺Cred與幣安達成合作。作為協議的一部分,Cred將把其部分ERC20 LBA代幣遷移到Binance Chain(幣安鏈),并且Cred將成為其DeFi生態系統的官方借貸平臺。[2019/5/30]

2.攻擊者繼續進行借款并獲得cySUSD。

https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4

3.攻擊者借出180萬USDC,之后通過Curve.fi將USDC兌換為sUSD,最終獲得cySUSD,并繼續利用杠桿翻倍借款sUSD。最后償還閃電貸。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

4.攻擊者繼續借出1000萬USDC,通過兌換等操作獲取cySUSD,并繼續利用杠桿翻倍借款sUSD,最后償還閃電貸。

https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e

5.攻擊者再次借出1000萬USDC,通過兌換等操作獲取cySUSD,最后歸還閃電貸。

https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57

6.攻擊者利用自己得到的大量cySUSD資產,從Cream.Finance中借出多個數字資產,完成攻擊獲利。

https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

總結

本次盜幣是攻擊者利用零抵押跨協議貸款的缺陷進行漏洞攻擊,通過不斷的利用杠桿來增加借款的金額,增加流動性,兌換為cySUDC,并通過多次操作獲取大量cySUDC從而最終借出自己想要的資產。

安全建議

DeFi今年確實備受關注,黑客攻擊也不斷發生,類似CreamFinance這樣的項目,包括creamfinance,alphafinance均受到不同程度的黑客攻擊。針對頻頻發生的黑客攻擊事件,我們給出的安全建議就是:

在項目上線之前,找專業的第三方安全企業進行全面的安全審計,而且可以找多家進行交叉審計;

可以發布漏洞賞金計劃,發送社區白帽子幫助找問題,先于黑客找到漏洞;

加強對項目的安全監測和預警,盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。

Tags:USDSUSDUSDCUSD幣USD價格SUSD幣是什么幣USDC幣USDC價格

USDC
程實:加速而至的數字人民幣時代_數字人

來源:新浪財經 文/新浪財經意見領袖專欄作家程實、高欣弘2021年《政府工作報告》史無前例地提及“數字”十次,意味著建設數字中國已經成為中國經濟遠景規劃的重要目標.

1900/1/1 0:00:00
囤比特幣暴富,想買車不知道怎么選?_比特幣

此文跟比特幣一點關系沒有只想蹭個熱度微博小伙伴留言說“最近手頭攢了點錢想買輛車,本人普通家庭想買個15W左右的車,想著買車也是件大事就跟老爸商量一下,這一商量我爸就非得讓我買vv7.

1900/1/1 0:00:00
現在還有“女兒國”?整個部落全是女性,她們如何繁衍后代?_亞馬遜

女兒國又稱東女國,位于唐朝的西邊,公元六、七世紀出現的一個部落,是川西以及藏族歷史上重要的文明古國,王城位于今四川省阿壩州的金川縣.

1900/1/1 0:00:00
比特幣又跌破48000美元!馬斯克罕見認慫、耶倫放狠話、蓋茨警告,24小時36萬人爆倉,金額超266億元人民幣_比特幣

來源:金融界網 作者:趙路 金融界網2月23日消息過去一天,比特幣坐上“過山車”。先是周一凌晨一路猛漲至58332美元的歷史新高,后突然下跌,日內最低下跌10000美元,至47780美元,隨后又.

1900/1/1 0:00:00
黑客開價8.8枚比特幣賣1679萬條用戶信息 交行:不存在信息泄露_比特幣

來源:21世紀經濟報道 原標題:黑客開價8.8枚比特幣售賣1679萬條“交行用戶信息”,交行:不存在信息泄露!2021年1月初,有黑客在暗網發布消息稱,已經掌握交行1679萬條用戶信息.

1900/1/1 0:00:00
區塊鏈游戲ALICE加密貨幣暴升60,000%,網友瘋搶2分鐘賺85倍_ALICE

社交模擬類游戲《MyNeighborAlice》是瑞典的游戲工作室最新打造的區塊鏈游戲,其游戲中的ALICE代幣正式在加密貨幣交易所“幣安”上市,一開市價格便極速上升,升幅一度高達60.

1900/1/1 0:00:00
ads