推特用户josebaredes今日下午发文称,CreamFinance遭遇黑客攻击,看起来他们已经赚到了13,000ETH。而此时,Yearn创始人AndreCronje与Cream创始人JeffreyHuang正在ClubHouse谈笑风生。
CreamFinance官方注意到该事后,紧急发布推文称,我们意识到潜在的漏洞,并正在对此进行调查。这场黑客攻击到底是如何进行的?这场DeFi攻击事件又给我们带来哪些反思呢?
CreamFinance到底是如何被攻击?
TheBlock研究分析师@FrankResearcher在推特分析了CreamFinance推出的零抵押跨协议贷款IronBank被盗约3750美元资产的过程。
Galxe推出新测试证书Quiz Credential,可对用户进行知识评估以及提高参与度:6月14日消息,Web3凭证数据网络Galxe宣布推出新的测试证书Quiz Credential,旨在提高Galxe活动中的用户参与度和知识评估。该证书支持设置20个多项选择和简答题,鼓励用户学习、促进社区参与并推动整体用户参与。该功能还可选择是否打开完全匹配选项。[2023/6/14 21:36:22]
黑客具体攻击操作如下:
1.攻击者使用AlphaHomora从IronBank借入sUSD,每次借入资金都是上次借款的两倍。
2.攻击者通过两笔交易来完成任务,每次将资金借给IronBank获得cySUSD。
加密交易平台Uphold要求法院驳回Cred对其的诉讼指控:1月12日消息,加密交易平台Uphold否认欠加密借贷平台Cred的清算信托约7.84亿美元,并提出动议要求驳回Cred于2022年6月对该公司提起的诉讼中的所有罪名。Uphold称Cred清算信托对其的指控不连贯、结论性和阴谋性,敦促特拉华州破产法院驳回这些指控,并表示与Cred的破产无关。
此前报道,去年6月Cred的清算信托起诉Uphold并索赔7.84亿美元,称其推出的产品CredEarn导致Cred在2020年破产。[2023/1/12 11:08:08]
3.在某些时候,攻击者从Aavev2获得了180万美元的USDC闪电贷款,并使用Curve将USDC换成了sUSD。
Cream将DAI抵押因子从0%提升至75%:去中心化借贷交易平台Cream Finance宣布将DAI抵押因子从0%提升至75%,DAI的抵押因子目前和ETH、YCRV、USDC、BUSD、yyCRV、yETH抵押因子相同,并列成为抵押因子最高的抵押代币。[2020/12/8 14:34:07]
4.攻击者把sUSD借给IronBank,使得他们可以继续获得cySUSD。
5.一些sUSD用于偿还闪电贷款。
6.此外,1000万美元的闪电贷款也被用来增加cySUSD的数量。
7.最终攻击者获得了数额巨大的cySUSD,这让他们可以从IronBank借到任何资产。
Morgan Creek联合创始人:比特币是未来保存财富的最佳资产:金色财经报道,Morgan Creek联合创始人Anthony Pompiano在接受采访时解释了为什么比特币是未来保存财富的最佳资产。Pompliano重申了他对比特币的看涨看法,并透露他在最近的市场崩盘后立即购买了更多比特币,当时大多数投资者都寻求美元避难。Pompian指出,金钱是一种信念系统,直到现在,市场都认为比特币比其他任何事物都更有价值。Pompliano认为,比特币减半不会对价格产生影响,因为在比特币持有者中,人们对该事件的含义及其对比特币价值的影响没有100%的共识。[2020/4/10]
8.随后攻击者借到了13.2万枚WETH、360万枚USDC、560万枚USDT、420万枚DAI。
9.稳定币已转入Aavev2,随后向IronBank部署者转入1000ETH、向Homora部署者转入1000ETH,向Tornado转入220ETH、向Tornadogrant转入100ETH,还有大约1.1万枚ETH在攻击者钱包地址中。
Cream目前调查进展
Cream.Finance发现漏洞后,先是发推文“已暂停IronBank的资产借款”,“CREAMv1资金是安全的”,官方不久后将这两条推文全部删除。
接着Cream.Finance再发推文称:对Cream合约和市场已完成调查,目前运行正常。V1和V2均已重新启用。检查报告随后发布。
在Cream.Finance被黑客攻击后,AlphaHomoraV2也遭受攻击。AlphaFinanceLab官方紧急处理,随后发推文称:已收到关于AlphaHomoraV2漏洞的通知。官方正与AndreCronje及Cream.Finance一起研究。与此同时,漏洞已被修复,正在调查被盗资金,且已经锁定主要嫌疑人。官方表示,用户不能从AlphaHomorav2借入更多资金,即没有新的杠杆头寸,只能在现有头寸上借入。V1是安全的,可以运行了。官方正处于高度戒备状态,事后将披露更多细节。
糙快猛DeFi开发方式带来的弊端和反思
今日DeFi项目漏洞频发,展示出DeFi在迅猛发展背后的问题,或许到了DeFi开发者慢下来思考一下的时候了。在Cream.Finance等DeFi项目被攻击后,神鱼发微博称,以AC为代表的糙快猛的DeFi开发方式,缺乏回归测试,弊端开始显现。值得一提的是,Yearn生态多个项目发生过黑客攻击。其中包括Pickle、SushiSwap、Yearn和今日的Cream。
2月12日,据特拉华州官网显示,灰度投资除YFI外,还新注册SNX、SUSHI、STX和COMP、MKR五种信托基金产品,注册时间均为2月10日。
虽然灰度CEO曾表示,注册信托实体并不代表会推出相应产品,请用户谨慎投资。但市场受消息影响异常兴奋,从而促使这些DeFi项目最近两日迅猛上涨,YFI价格更是一度超过BTC。然而,今日的黑客攻击事件,直接影响了市场信心,DeFi龙头领跌,市场似乎一下子冷静了许多。
DeFi的开发类似于乐高积木,其可组合性和可扩展性为区块链行业带来了新的发展空间;但是,DeFi中如果有一块”积木“出现问题,也非常容易引发系统性崩溃,从而为用户带来无法弥补的损失。DeFi行业还很年轻,历经的时间的考验还很短,黑客事件接连发生后,开发者或许也该重新审视一下DeFi带来的危机和机遇,从而打造出真正经得起时间考验的去中心化金融体系。
标签:CRECREAMCREAREALBRY CreditsCreamPYECreativecoinethereal翻译名字
BTC还会上涨吗? 在本轮牛市中,根据CoinMarketCap的统计,BTC已经于1月8日盘中创下了新的历史最高价41946.74美元,但随后立即调整状态,这让市场开始猜想本轮牛市是否已经走向终点.
1900/1/1 0:00:00亲爱的Pool-X用户,为庆祝Algorand生态稳定币USDT-ASA及USDC-ASA上线,Pool-X将联合Algorand(ALGO)项目方开启系列新春贺礼活动.
1900/1/1 0:00:00链闻消息,DeFi项目ReflexerLabs宣布完成440万美元A轮融资,PanteraCapital和Lemniscap领投.
1900/1/1 0:00:00尊敬的用户: 因市场行情波动较大,为避免过高的交易风险,Bingbon将于2021年02月17日10:00对BTC/USDT、ETH/USDT单边最大交易额和单边最大持仓做出调整,恢复时间请关注平台后续官方公告.
1900/1/1 0:00:00本来来自福布斯,原文作者:BillyBambroughOdaily?星球日报译者?|念银思唐总部位于纽约的银行巨头纽约梅隆银行正在涉足比特币和加密货币领域.
1900/1/1 0:00:00亲爱的用户: ETF产品7x24小时交易,并且市场波动较大,本着对市场影响最小原则,在不影响用户体验的情况下,我们按次数最少化原则对ETF份额进行合并操作.
1900/1/1 0:00:00