BTC/HKD+0.36%
ETH/HKD+0.12%
LTC/HKD+1.42%
DOT/HKD+1.69%
ADA/HKD+1.29%
SOL/HKD+2.64%
XRP/HKD+0.18%
DOGE/US+3.8%事件背景
CreamFinance是建立在智能合約基礎上的開放普惠的金融體系。通過以方便快捷的方式在線提供消費貸款,是一個利用流動性挖礦的去中心化借貸和交易平臺。
北京時間2020年2月13日,CreamFinance官方推特稱出現黑客盜幣事件,并表示隨后會披露漏洞細節。
隨后零時科技安全團隊立刻對該安全事件進行復盤分析。
事件分析
通過分析此事件,該次攻擊由0x905315602ed9a854e325f692ff82f58799beab57合約地址完成,目前該地址已被標記為盜幣者地址,并存在多次攻擊交易,如圖:
Cream Finance發起添加CRETH2為抵押資產的提案:Cream Finance發推文稱,已發起將CRETH2?(Cream ETH2)?添加為抵押資產的提案。如果該提案獲得通過,驗證者將獲得供應費,CRETH2將用作CREAM貸款中的抵押資產。據悉。CRETH2是在CREAM Finance中ETH2質押的驗證代幣。[2020/11/24 21:52:17]
主要攻擊的6筆交易如下:
1.攻擊者通過杠桿不斷借款,最終獲得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
CREAM突破170美元 24H最高漲幅84.27%:據Gate.io行情顯示,交易對CREAM/USDT幣價持續上漲,今日突破170美元,截至今日11:00,24H漲幅最高達84.27%,當前漲幅48.58%,24H最高價格177美元,當前報價170美元。據悉,CREAM/USDT交易于9月1日在Gate.io正式上線。[2020/9/8]
2.攻擊者繼續進行借款并獲得cySUSD。
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
動態 | 區塊鏈公司CREAM與加密貨幣交易所Bitrue建立合作關系:區塊鏈公司CREAM與加密貨幣交易所Bitrue建立合作關系,Bitrue承諾對唯鏈(VeChain)X節點計劃進行支持,為唯鏈社區成員提供收益和獎勵。據悉,CREAM參與了VeChain區塊鏈項目。(BTCManager)[2020/2/25]
3.攻擊者借出180萬USDC,之后通過Curve.fi將USDC兌換為sUSD,最終獲得cySUSD,并繼續利用杠桿翻倍借款sUSD。最后償還閃電貸。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
聲音 | Cred聯合創始人:比特幣不會死,其比大多數政府貨幣更受信任:金色財經報道,Cred聯合創始人兼首席執行官Dan Schatt指出,比特幣被記者宣布死亡378次,其中包括今年的40次。但是比特幣不會死,因為它比大多數政府貨幣更受信任。比特幣沒有中介機構。[2019/12/26]
4.攻擊者繼續借出1000萬USDC,通過兌換等操作獲取cySUSD,并繼續利用杠桿翻倍借款sUSD,最后償還閃電貸。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻擊者再次借出1000萬USDC,通過兌換等操作獲取cySUSD,最后歸還閃電貸。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻擊者利用自己得到的大量cySUSD資產,從Cream.Finance中借出多個數字資產,完成攻擊獲利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
總結
本次盜幣是攻擊者利用零抵押跨協議貸款的缺陷進行漏洞攻擊,通過不斷的利用杠桿來增加借款的金額,增加流動性,兌換為cySUDC,并通過多次操作獲取大量cySUDC從而最終借出自己想要的資產。
安全建議
DeFi今年確實備受關注,黑客攻擊也不斷發生,類似CreamFinance這樣的項目,包括creamfinance,alphafinance均受到不同程度的黑客攻擊。針對頻頻發生的黑客攻擊事件,我們給出的安全建議就是:
在項目上線之前,找專業的第三方安全企業進行全面的安全審計,而且可以找多家進行交叉審計;
可以發布漏洞賞金計劃,發送社區白帽子幫助找問題,先于黑客找到漏洞;
加強對項目的安全監測和預警,盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。
在銀元收藏的過程中,很多朋友發現自己手中的銀元上有加蓋的印記,有的像是姓氏、有的像是花紋、有的像是數字,其實這些印記是在銀元流通中人為蓋上的記號.
1900/1/1 0:00:00突如其來,三大加密貨幣交易所官方微博賬號或集體被封。3月11日下午,有消息稱,國內三大加密貨幣交易所火幣網、歐易、幣安的官方微博賬號集體被封.
1900/1/1 0:00:00BTC-比特幣價格2021年1月3日16:19:53如上圖:比特幣價格創歷史新高,達到34064.64$,和人民幣222346.73元,遙想2017年夏季時2000多元人民幣的價格都不敢入手.
1900/1/1 0:00:00中新經緯客戶端3月25日電周四,A股止住下跌趨勢。三大股指低開,開盤短暫回落后快速拉升翻紅,后走勢分化,創指表現較為強勢盤中一度漲超1%。盤面上,數字貨幣、知識產權等概念板塊漲幅居前.
1900/1/1 0:00:002020年已經翻篇,伴隨著新年鐘聲敲響的,是國內造車三勢力頻頻傳來的佳音。蔚來汽車2020年全年累計交付43728臺,同比增長121%;理想汽車2020年全年累計交付32624輛;小鵬汽車202.
1900/1/1 0:00:00伊朗蘊藏的四大突出優勢 伊朗位于亞洲西部,屬中東國家。伊朗中北部緊靠里海、南靠波斯灣和阿拉伯海。國土面積約1648195平方公里,世界排名第十八。據伊朗國家統計數據顯示,伊朗人口達8180萬.
1900/1/1 0:00:00
比特幣交易所
