事件背景
CreamFinance是建立在智能合約基礎上的開放普惠的金融體系。通過以方便快捷的方式在線提供消費貸款,是一個利用流動性挖礦的去中心化借貸和交易平臺。
北京時間2020年2月13日,CreamFinance官方推特稱出現黑客盜幣事件,并表示隨后會披露漏洞細節。
隨后零時科技安全團隊立刻對該安全事件進行復盤分析。
事件分析
通過分析此事件,該次攻擊由0x905315602ed9a854e325f692ff82f58799beab57合約地址完成,目前該地址已被標記為盜幣者地址,并存在多次攻擊交易,如圖:
CremaFinance公布漏洞事件補償方案,幾周后將重新上線完整協議:金色財經報道,Solana生態流動性服務協議Crema Finance發布漏洞事件補償公告稱,Crema剛剛經歷了艱難的一周。幸運的是,我們幾乎可以解決問題。我們已經追回了絕大部分被盜資金,并且正在逐步恢復原有的資產組合。
Crema將在下周晚些時候開啟資產提取合約,該合約將由SlowMist進行審計;Crema也將從團隊Token分配中拿出1.5%(1500萬枚CRM),以補償在該事件中損失資金的所有用戶;對于受到攻擊的流動性池,流動性提供者在撤回資產時將獲得veNFT;為確保CRM的充足流動性,Crema每月將使用協議交易費用的 7.5%回購CRM并銷毀,回購計劃將從全面重啟Crema開始。
Crema同時表示,幾周后,Crema的完整協議將再次上線。資產安全將是Crema未來發展的重中之重。[2022/7/9 2:02:03]
NFT數據:Superlative Secret Society 24小時成交量漲幅達4522.63%:DappRadar最新數據顯示,過去24小時成交量排名前十的NFT項目及其成交量漲跌幅如下:Axie Infinity(+28.28%)、LOSTPOETS(+587.58%)、Cupcats Official(+595.66%)、CryptoPunks(+44.43%)、Art Blocks(-63.48%)、Superlative Secret Society(+4522.63%)、loomlocknft
、SupDucks(+388.09%)、 Mutant Ape Yacht Club(-55.92%)、 Bored Ape Yacht Club(-31.03%)。
其中,Superlative Secret Society 24小時成交量領漲(+4522.63%) ,為260萬美元;Art Blocks 24小時成交量領跌(-63.48%),為335萬美元 。[2021/9/23 17:00:56]
主要攻擊的6筆交易如下:
Cream Finance宣布以太坊上C.R.E.A.M.將下線COVER:9月5日消息,Cream Finance發推表示,以太坊上C.R.E.A.M.將下線COVER,目前已暫停COVER市場供應/借貸。Cream Finance提醒用戶取回并償還COVER代幣。[2021/9/5 23:01:39]
1.攻擊者通過杠桿不斷借款,最終獲得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
CREAM逼近150美元,24小時漲逾117%:CoinGecko行情顯示,Cream Finance(CREAM)當前報價148.92美元,24小時漲幅117.2%。
此前消息,Cream Finance宣布將銷毀6,075,000枚CREAM代幣,占當前供應量的67.5%。此次銷毀包括100%的治理代幣和75%的種子代幣。此外,Cream還宣布推出動態AMM(自動做市商)CreamY。[2020/9/20]
2.攻擊者繼續進行借款并獲得cySUSD。
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
3.攻擊者借出180萬USDC,之后通過Curve.fi將USDC兌換為sUSD,最終獲得cySUSD,并繼續利用杠桿翻倍借款sUSD。最后償還閃電貸。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻擊者繼續借出1000萬USDC,通過兌換等操作獲取cySUSD,并繼續利用杠桿翻倍借款sUSD,最后償還閃電貸。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻擊者再次借出1000萬USDC,通過兌換等操作獲取cySUSD,最后歸還閃電貸。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻擊者利用自己得到的大量cySUSD資產,從Cream.Finance中借出多個數字資產,完成攻擊獲利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
總結
本次盜幣是攻擊者利用零抵押跨協議貸款的缺陷進行漏洞攻擊,通過不斷的利用杠桿來增加借款的金額,增加流動性,兌換為cySUDC,并通過多次操作獲取大量cySUDC從而最終借出自己想要的資產。
安全建議
DeFi今年確實備受關注,黑客攻擊也不斷發生,類似CreamFinance這樣的項目,包括creamfinance,alphafinance均受到不同程度的黑客攻擊。針對頻頻發生的黑客攻擊事件,我們給出的安全建議就是:
在項目上線之前,找專業的第三方安全企業進行全面的安全審計,而且可以找多家進行交叉審計;
可以發布漏洞賞金計劃,發送社區白帽子幫助找問題,先于黑客找到漏洞;
加強對項目的安全監測和預警,盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。
虛擬幣價格一路高漲之際,掛著虛擬幣噱頭的殼公司交易也悄然興起。近日,《每日經濟新聞》記者注意到,多個網絡平臺上有人發布信息轉讓“區塊鏈公司”、“數字貨幣執照”.
1900/1/1 0:00:00圖說:上海樹圖區塊鏈研究院CTO伍鳴博士介紹Conflux樹圖區塊鏈公有鏈系統1.0版本來源:采訪對象供圖區塊鏈技術“出圈”賦能各行各業,高效是關鍵.
1900/1/1 0:00:00最近一個現象,很多人特別不理解。就是在美元大放水的宏觀環境下,同樣具有避險抗通脹屬性的黃金受冷落,而比特幣受到追捧,這是為什么? 黃金無需多解釋,它的價值屬性不僅經歷千年考驗,即便過去幾十年,它.
1900/1/1 0:00:00最近很多朋友問:“佳哥,WiCC投票給超級節點有什么用?對投票人有什么好處呢?投票會鎖倉嗎?鎖倉多久等等?”其實,WiCC的超級節點投票就類似于現實中民主國家的選舉一樣.
1900/1/1 0:00:00在完成與加密貨幣的市價捆綁后,特斯拉乘著電動汽車生意,離財富神話又近了一步。日前,Wedbush分析師丹尼爾·艾夫斯表示,在特斯拉投資15億美元購買比特幣后,其股價與比特幣價格掛鉤.
1900/1/1 0:00:00字節跳動又出一爆炸性新聞。據財聯社報道,當地時間周四,據媒體援引美國伊利諾伊州地方法院文件報道,字節跳動已經與一項與用戶隱私有關的集體訴訟達成了和解.
1900/1/1 0:00:00