事件背景
CreamFinance是建立在智能合约基础上的开放普惠的金融体系。通过以方便快捷的方式在线提供消费贷款,是一个利用流动性挖矿的去中心化借贷和交易平台。
北京时间2020年2月13日,CreamFinance官方推特称出现黑客盗币事件,并表示随后会披露漏洞细节。
随后零时科技安全团队立刻对该安全事件进行复盘分析。
事件分析
通过分析此事件,该次攻击由0x905315602ed9a854e325f692ff82f58799beab57合约地址完成,目前该地址已被标记为盗币者地址,并存在多次攻击交易,如图:
mfers官方伴侣NFT系列CREYZIES已完成快照,向mfer持有者空投CREYZIES NFT:4月20日消息,创作者reylarsdam手绘的mfers官方伴侣NFT系列CREYZIES已于美国东部时间4月19日23:30完成秘密快照,向每名mfers系列NFT持有者空投CREYZIES NFT。[2022/4/20 14:36:37]
主要攻击的6笔交易如下:
1.攻击者通过杠杆不断借款,最终获得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
SGInnovate和Accredify开发基于区块链的数字健康护照:新加坡国有投资公司SGInnovate和新加坡初创企业Accredify联合开发了一种新的基于区块链的数字健康护照,允许个人医疗数据存储在受区块链保护的数字钱包中。(Cointelegraph)[2020/9/30]
2.攻击者继续进行借款并获得cySUSD。
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
声音 | Morgan Creek联合创始人:计划在年前再进行2-3次Pre-种子轮融资:Morgan Creek Digital联合创始人Anthony Pompliano发推称其计划在年前再进行2-3次Pre-种子轮融资。并向网友询问有没有什么意见。[2019/10/15]
3.攻击者借出180万USDC,之后通过Curve.fi将USDC兑换为sUSD,最终获得cySUSD,并继续利用杠杆翻倍借款sUSD。最后偿还闪电贷。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
声音 | Morgan Creek创始人:比特币将成为全球储备货币:Morgan Creek创始人Anthony Pompliano今日发布推文称:“比特币将成为全球储备货币,这就是为什么我们都在这里,任何不如这的都变得没什么意思。比特币已回到12000美元附近,在通往新历史高点的道路上将有30%的回撤,不要被噪音分心。”[2019/7/5]
4.攻击者继续借出1000万USDC,通过兑换等操作获取cySUSD,并继续利用杠杆翻倍借款sUSD,最后偿还闪电贷。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻击者再次借出1000万USDC,通过兑换等操作获取cySUSD,最后归还闪电贷。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻击者利用自己得到的大量cySUSD资产,从Cream.Finance中借出多个数字资产,完成攻击获利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
总结
本次盗币是攻击者利用零抵押跨协议贷款的缺陷进行漏洞攻击,通过不断的利用杠杆来增加借款的金额,增加流动性,兑换为cySUDC,并通过多次操作获取大量cySUDC从而最终借出自己想要的资产。
安全建议
DeFi今年确实备受关注,黑客攻击也不断发生,类似CreamFinance这样的项目,包括creamfinance,alphafinance均受到不同程度的黑客攻击。针对频频发生的黑客攻击事件,我们给出的安全建议就是:
在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计;
可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞;
加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
2月25日,美国证券交易委员会认定加密货币交易所Coinbase提交上市申请S-1表格有效。虽然Coinbase作为加密交易所交易量并不是最好的,但这意味着该交易所将正式成为一家上市公司,加密领.
1900/1/1 0:00:00Billions项目组 习作一 那一刻,我长大了 范文一:打工记 看着手里的三十元钱,我感慨万分。这三十元钱,来得可真不容易!妈妈一直说我不知道节俭,不懂挣钱的辛苦.
1900/1/1 0:00:00伊朗蕴藏的四大突出优势 伊朗位于亚洲西部,属中东国家。伊朗中北部紧靠里海、南靠波斯湾和阿拉伯海。国土面积约1648195平方公里,世界排名第十八。据伊朗国家统计数据显示,伊朗人口达8180万.
1900/1/1 0:00:00来源:资本邦 2月22日,资本邦了解到,上周六,比特币短暂的“崩盘”至54000美元后,比特币价格又刷新了历史新高,首次超过58000美元.
1900/1/1 0:00:00自2020年3月1日以来,全球安装的新Billions项目组ATM数量已接近10,000。根据CoinATMRadar的最新数据,当前的机器数量为16,835,相比去年的7,152,增长了57.
1900/1/1 0:00:00开篇序言 近年来随着发病率的不断升高,肿瘤已经成为全球第一大杀手。据CA数据显示,2020年全球新发癌症1929万病例,新增死亡996万病例,其中,中国新发癌症457万病例,新增死亡300万病例.
1900/1/1 0:00:00
宇宙链