加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

Cream Finance協議遭黑客閃電攻擊事件分析_USD:SUSD幣是什么幣USDC幣

Author:

Time:1900/1/1 0:00:00

事件背景

CreamFinance是建立在智能合約基礎上的開放普惠的金融體系。通過以方便快捷的方式在線提供消費貸款,是一個利用流動性挖礦的去中心化借貸和交易平臺。

北京時間2020年2月13日,CreamFinance官方推特稱出現黑客盜幣事件,并表示隨后會披露漏洞細節。

隨后零時科技安全團隊立刻對該安全事件進行復盤分析。

事件分析

通過分析此事件,該次攻擊由0x905315602ed9a854e325f692ff82f58799beab57合約地址完成,目前該地址已被標記為盜幣者地址,并存在多次攻擊交易,如圖:

CremaFinance公布漏洞事件補償方案,幾周后將重新上線完整協議:金色財經報道,Solana生態流動性服務協議Crema Finance發布漏洞事件補償公告稱,Crema剛剛經歷了艱難的一周。幸運的是,我們幾乎可以解決問題。我們已經追回了絕大部分被盜資金,并且正在逐步恢復原有的資產組合。

Crema將在下周晚些時候開啟資產提取合約,該合約將由SlowMist進行審計;Crema也將從團隊Token分配中拿出1.5%(1500萬枚CRM),以補償在該事件中損失資金的所有用戶;對于受到攻擊的流動性池,流動性提供者在撤回資產時將獲得veNFT;為確保CRM的充足流動性,Crema每月將使用協議交易費用的 7.5%回購CRM并銷毀,回購計劃將從全面重啟Crema開始。

Crema同時表示,幾周后,Crema的完整協議將再次上線。資產安全將是Crema未來發展的重中之重。[2022/7/9 2:02:03]

NFT數據:Superlative Secret Society 24小時成交量漲幅達4522.63%:DappRadar最新數據顯示,過去24小時成交量排名前十的NFT項目及其成交量漲跌幅如下:Axie Infinity(+28.28%)、LOSTPOETS(+587.58%)、Cupcats Official(+595.66%)、CryptoPunks(+44.43%)、Art Blocks(-63.48%)、Superlative Secret Society(+4522.63%)、loomlocknft

、SupDucks(+388.09%)、 Mutant Ape Yacht Club(-55.92%)、 Bored Ape Yacht Club(-31.03%)。

其中,Superlative Secret Society 24小時成交量領漲(+4522.63%) ,為260萬美元;Art Blocks 24小時成交量領跌(-63.48%),為335萬美元 。[2021/9/23 17:00:56]

主要攻擊的6筆交易如下:

Cream Finance宣布以太坊上C.R.E.A.M.將下線COVER:9月5日消息,Cream Finance發推表示,以太坊上C.R.E.A.M.將下線COVER,目前已暫停COVER市場供應/借貸。Cream Finance提醒用戶取回并償還COVER代幣。[2021/9/5 23:01:39]

1.攻擊者通過杠桿不斷借款,最終獲得cySUSD。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

CREAM逼近150美元,24小時漲逾117%:CoinGecko行情顯示,Cream Finance(CREAM)當前報價148.92美元,24小時漲幅117.2%。

此前消息,Cream Finance宣布將銷毀6,075,000枚CREAM代幣,占當前供應量的67.5%。此次銷毀包括100%的治理代幣和75%的種子代幣。此外,Cream還宣布推出動態AMM(自動做市商)CreamY。[2020/9/20]

2.攻擊者繼續進行借款并獲得cySUSD。

https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4

3.攻擊者借出180萬USDC,之后通過Curve.fi將USDC兌換為sUSD,最終獲得cySUSD,并繼續利用杠桿翻倍借款sUSD。最后償還閃電貸。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

4.攻擊者繼續借出1000萬USDC,通過兌換等操作獲取cySUSD,并繼續利用杠桿翻倍借款sUSD,最后償還閃電貸。

https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e

5.攻擊者再次借出1000萬USDC,通過兌換等操作獲取cySUSD,最后歸還閃電貸。

https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57

6.攻擊者利用自己得到的大量cySUSD資產,從Cream.Finance中借出多個數字資產,完成攻擊獲利。

https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

總結

本次盜幣是攻擊者利用零抵押跨協議貸款的缺陷進行漏洞攻擊,通過不斷的利用杠桿來增加借款的金額,增加流動性,兌換為cySUDC,并通過多次操作獲取大量cySUDC從而最終借出自己想要的資產。

安全建議

DeFi今年確實備受關注,黑客攻擊也不斷發生,類似CreamFinance這樣的項目,包括creamfinance,alphafinance均受到不同程度的黑客攻擊。針對頻頻發生的黑客攻擊事件,我們給出的安全建議就是:

在項目上線之前,找專業的第三方安全企業進行全面的安全審計,而且可以找多家進行交叉審計;

可以發布漏洞賞金計劃,發送社區白帽子幫助找問題,先于黑客找到漏洞;

加強對項目的安全監測和預警,盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。

Tags:USDSUSDUSDCUSD幣USD價格SUSD幣是什么幣USDC幣USDC價格

萊特幣最新價格
叫價500萬!可發平臺幣?有人在網絡平臺兜售虛擬幣殼公司;律師:ICO違法,國內未發此類牌照_虛擬幣:數字貨幣虛擬幣排行

虛擬幣價格一路高漲之際,掛著虛擬幣噱頭的殼公司交易也悄然興起。近日,《每日經濟新聞》記者注意到,多個網絡平臺上有人發布信息轉讓“區塊鏈公司”、“數字貨幣執照”.

1900/1/1 0:00:00
系統性能超越比特幣、以太坊!上海發布自主研發的樹圖區塊鏈公有鏈系統1.0版本_區塊鏈:Conflux區塊鏈工程專業學什么

圖說:上海樹圖區塊鏈研究院CTO伍鳴博士介紹Conflux樹圖區塊鏈公有鏈系統1.0版本來源:采訪對象供圖區塊鏈技術“出圈”賦能各行各業,高效是關鍵.

1900/1/1 0:00:00
近期黃金受冷落,比特幣受追捧,為什么?_比特幣:40億比特幣能提現嗎

最近一個現象,很多人特別不理解。就是在美元大放水的宏觀環境下,同樣具有避險抗通脹屬性的黃金受冷落,而比特幣受到追捧,這是為什么? 黃金無需多解釋,它的價值屬性不僅經歷千年考驗,即便過去幾十年,它.

1900/1/1 0:00:00
比特幣大漲十倍后,維基鏈推出超級節點劍指何方?_EOS:EOS

最近很多朋友問:“佳哥,WiCC投票給超級節點有什么用?對投票人有什么好處呢?投票會鎖倉嗎?鎖倉多久等等?”其實,WiCC的超級節點投票就類似于現實中民主國家的選舉一樣.

1900/1/1 0:00:00
頻頻喊單加密貨幣 特斯拉股價震蕩或常態化_比特幣:馬斯克資產多少億美元加密貨幣是什么意思啊

在完成與加密貨幣的市價捆綁后,特斯拉乘著電動汽車生意,離財富神話又近了一步。日前,Wedbush分析師丹尼爾·艾夫斯表示,在特斯拉投資15億美元購買比特幣后,其股價與比特幣價格掛鉤.

1900/1/1 0:00:00
天價!字節侵犯美國用戶隱私被告,為求和解白給1個億人民幣_KTO:TIK價格

字節跳動又出一爆炸性新聞。據財聯社報道,當地時間周四,據媒體援引美國伊利諾伊州地方法院文件報道,字節跳動已經與一項與用戶隱私有關的集體訴訟達成了和解.

1900/1/1 0:00:00
ads