以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

USDC:Cream Finance協議遭黑客閃電攻擊事件分析

Author:

Time:1900/1/1 0:00:00

事件背景

CreamFinance是建立在智能合約基礎上的開放普惠的金融體系。通過以方便快捷的方式在線提供消費貸款,是一個利用流動性挖礦的去中心化借貸和交易平臺。

北京時間2020年2月13日,CreamFinance官方推特稱出現黑客盜幣事件,并表示隨后會披露漏洞細節。

隨后零時科技安全團隊立刻對該安全事件進行復盤分析。

事件分析

通過分析此事件,該次攻擊由0x905315602ed9a854e325f692ff82f58799beab57合約地址完成,目前該地址已被標記為盜幣者地址,并存在多次攻擊交易,如圖:

安全公司:DeFi借貸協議Cream Finance攻擊者轉移約300萬美元:據成都鏈安鏈必追平臺監測顯示,Cream Finance的攻擊者將 3022735.901 DAI (價值約302萬美元)通過Curve Finance兌換為134.225renBTC,再將134.225 renBTC轉移至bc1qxn95s5c3q8y7q3w3gzgy0v74q05vvmvmsn8g8s地址,成都鏈安安全團隊將持續對新地址的資金進行分析和追蹤。據悉,2021年10月,DeFi抵押借貸協議Cream Finance遭遇閃電貸攻擊,損失1.3億美元。[2022/7/19 2:23:54]

Celo推出與巴西雷亞爾掛鉤的算法穩定幣cREAL:1月30日消息,開源區塊鏈Celo最近推出與巴西雷亞爾掛鉤的算法穩定幣Celo Real(cREAL)。 巴西加密貨幣交易所FlowBTC、NovaDAX和Ripio將支持cREAL穩定幣。此外,錢包Bitfy和Coins也將支持cREAL。

根據Celo的說法,cREAL穩定幣可用于其區塊鏈上的中心化金融和去中心化金融(DeFi)應用程序,例如抵押貸款平臺Moola Market。巴西人還可以將cREAL添加到其Bitfy錢包中,以支付巴西支付處理器Cielo網絡的商家賬單。 (The Block)[2022/1/31 9:23:52]

主要攻擊的6筆交易如下:

1.攻擊者通過杠桿不斷借款,最終獲得cySUSD。

美國法官否決任命受托人監督加密貸款機構Cred重組的動議:加密貸款機構Cred仍將控制其即將破產的業務。在周五舉行的初步聽證會上,美國特拉華州破產法院法官John Dorsey否決了任命破產法第11章受托人監督Cred重組的動議。法官在裁決中警告說,如果Cred的股東Dan Schatt和Lu Hua試圖解雇負責Cred重組的Cred董事會成員Grant Lyon,那么法院將介入并任命一位受托人來監督破產。John Dorsey還任命了一名審查員,對Cred的業務進行獨立調查。Cred在10月份凍結了提款和存款,并在11月份宣布破產。據幾名Cred前雇員說,該公司根據破產法第11章申請破產并沒有說明全部情況。任命破產法第11章受托人的動議是由負責破產案管理的美國司法部(DOJ)部門提出的。(Coindesk)[2020/12/19 15:44:38]

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

聲音 | Morgan Creek創始人:越來越多的人開始選擇用基于軟件的貨幣來存儲財富:Morgan Creek創始人Anthony Pompliano發推稱:“最有趣的情況是,越來越多的人開始選擇用基于軟件的貨幣來存儲財富。毫不夸張地說,他們決定信任算法的治理,而不是人類的治理。”Anthony在該推文下附上了其最新文章“比特幣在當前全球不穩定中的潛在作用”[2019/8/5]

2.攻擊者繼續進行借款并獲得cySUSD。

https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4

3.攻擊者借出180萬USDC,之后通過Curve.fi將USDC兌換為sUSD,最終獲得cySUSD,并繼續利用杠桿翻倍借款sUSD。最后償還閃電貸。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

4.攻擊者繼續借出1000萬USDC,通過兌換等操作獲取cySUSD,并繼續利用杠桿翻倍借款sUSD,最后償還閃電貸。

https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e

5.攻擊者再次借出1000萬USDC,通過兌換等操作獲取cySUSD,最后歸還閃電貸。

https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57

6.攻擊者利用自己得到的大量cySUSD資產,從Cream.Finance中借出多個數字資產,完成攻擊獲利。

https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

總結

本次盜幣是攻擊者利用零抵押跨協議貸款的缺陷進行漏洞攻擊,通過不斷的利用杠桿來增加借款的金額,增加流動性,兌換為cySUDC,并通過多次操作獲取大量cySUDC從而最終借出自己想要的資產。

安全建議

DeFi今年確實備受關注,黑客攻擊也不斷發生,類似CreamFinance這樣的項目,包括creamfinance,alphafinance均受到不同程度的黑客攻擊。針對頻頻發生的黑客攻擊事件,我們給出的安全建議就是:

在項目上線之前,找專業的第三方安全企業進行全面的安全審計,而且可以找多家進行交叉審計;

可以發布漏洞賞金計劃,發送社區白帽子幫助找問題,先于黑客找到漏洞;

加強對項目的安全監測和預警,盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。

Tags:USDSUSDUSDCUSD幣USD價格SUSD幣是什么幣USDC幣USDC價格

酷幣下載
以太坊:以太坊(ETH)的汽油費(GAS)隨著DEX和DeFi交易量的減少而下降

去中心化金融的日益普及為加密貨幣領域帶來了新的關注和樂觀,所有協議上鎖定的總價值在不到一年的時間內從10億美元增加到590億美元,排名前五的平臺占243.3億美元.

1900/1/1 0:00:00
GDP:為何是看漲比特幣(Bitcoin)至40萬美元?而不是100萬刀?200萬$?

最近高呼比特幣暴漲的聲音越來越多,包括一些知名公司和知名人士,比如,一個是搞新能源汽車的,另一個是投資這家新能源汽車股票的,人們因其投資而叫她"牛市女皇".

1900/1/1 0:00:00
比特幣:狗狗幣最高暴漲10倍!馬斯克發起投票,130萬人里有70%跟著“瘋”

美國散戶的逼空戰火燒到了幣圈,這次他們的目標是狗狗幣。近日不少美國散戶稱,狗狗幣是下一個游戲驛站和比特幣,價格會達到1美元,并將顛覆加密市場。當時,狗狗幣價格只有0.007美元.

1900/1/1 0:00:00
數字資產:網易申請“一種識別違規圖片的方法及裝置”專利

企查查App顯示,3月16日,網易網絡有限公司公開“一種識別違規圖片的方法及裝置”專利,公開號為CN112507912A.

1900/1/1 0:00:00
比特幣:幣遇Bmeet王實:比特幣的價值真的源自稀缺性嗎?

比特幣的價值源自其固有的稀缺性。比特幣的增發量是由算法決定的。因此,根據算法幣遇王實發現,隨著用戶對比特幣的需求增加,其稀缺性也在提高,不過當用戶對比特幣的需求下降時,其稀缺性也會下降.

1900/1/1 0:00:00
Filecoin:什么是Filecoin,為什么加密貨幣的價格上漲?

Filecoin是一種加密貨幣,今年已迅速普及,成為世界十大最大加密貨幣之一。加密貨幣市場價格追蹤器Coinmarketcap按市值將Filecoin列在其加密貨幣列表中的第九位,即市值.

1900/1/1 0:00:00
ads