事件背景
CreamFinance是建立在智能合约基础上的开放普惠的金融体系。通过以方便快捷的方式在线提供消费贷款,是一个利用流动性挖矿的去中心化借贷和交易平台。
北京时间2020年2月13日,CreamFinance官方推特称出现黑客盗币事件,并表示随后会披露漏洞细节。
随后零时科技安全团队立刻对该安全事件进行复盘分析。
事件分析
通过分析此事件,该次攻击由0x905315602ed9a854e325f692ff82f58799beab57合约地址完成,目前该地址已被标记为盗币者地址,并存在多次攻击交易,如图:
由于FUSD和DEI严重脱锚,DeFi借贷协议Scream出现3500万美元坏账:5月16日消息,基于Fantom的DeFi借贷协议Scream由于未能调整两种脱锚美元稳定币的价格,从而造成了3500万美元的坏账。
这两种稳定币分别是Fantom USD(FUSD)和Dei(DEI)。根据Scream仪表板的数据,这两种稳定币的报价仍为1美元。然而,它们的交易价格已经严重脱锚。其中FUSD跌至0.69美元,DEI则跌至0.52美元的低点。
鲸鱼玩家利用这一情况以折价存入大量FUSD和DEI,并从Scream平台抽走所有其他稳定币。Fantom USDT、FRAX、DAI、MIM和USDC等稳定币都已从该平台中抽走。由此一来,原本拥有这些稳定币存款的用户则无法从Scream提现。(The Block)[2022/5/16 3:20:11]
Morgan Creek Capital创始人建议投资者逢低买入加密货币:11月27日消息,Morgan Creek Capital Management创始人、CEO兼CIO Mark Yusko仍然对比特币和其他数字资产感兴趣。他在采访中透露他对加密货币领域的看涨立场。他认为加密货币市场最近的糟糕表现是“黑色星期五”折扣。他解释了为什么尽管最近暴跌,但他仍然看好BTC,提到了不断加强的基本面。
根据Yusko的说法,BTC用户、钱包和交易的数量显著增加,使网络更加完善。他补充说,作为一名投资者,这让他感到困惑,为什么人们会在商品上市销售时离开商店。他认为,与黄金相比,BTC是更好的价值存储方式,因为它更便于携带和分割。Yusko建议投资者逢低买入,而不是退出加密头寸。(Invezz)[2021/11/27 12:35:57]
主要攻击的6笔交易如下:
去中心化风险建模平台Credmark融资550万美元 并与API3达成合作:加密信贷数据公司Credmark最近融资550万美元,Solidity Ventures、Genesis Block Ventures、Spark Digital Capital等参投。redmark首席战略官Momin Ahmad表示,正与预言机供应商API3合作,推出一个去中心化风险模型平台,该平台将尝试为去中心化金融项目打分。Credmark现在将来自Coinbase、Moody's、API3、Bridge Mutual和一名前FICO高管的员工列入其顾问之列。(CoinDesk)[2021/6/3 23:09:24]
1.攻击者通过杠杆不断借款,最终获得cySUSD。
声音 | Morgan Creek创始人:未来权力将通过积累比特币、计算能力等来建立:Morgan Creek创始人Anthony Pompliano今日发推称,过去,权力是通过积累金钱和人际关系建立起来的。在未来,权力将通过积累比特币、计算能力和雇佣最好的软件工程师来建立。这种“轻资产”的权力结构将奖励那些了解数字世界的人。[2019/12/27]
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
2.攻击者继续进行借款并获得cySUSD。
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
3.攻击者借出180万USDC,之后通过Curve.fi将USDC兑换为sUSD,最终获得cySUSD,并继续利用杠杆翻倍借款sUSD。最后偿还闪电贷。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻击者继续借出1000万USDC,通过兑换等操作获取cySUSD,并继续利用杠杆翻倍借款sUSD,最后偿还闪电贷。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻击者再次借出1000万USDC,通过兑换等操作获取cySUSD,最后归还闪电贷。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻击者利用自己得到的大量cySUSD资产,从Cream.Finance中借出多个数字资产,完成攻击获利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
总结
本次盗币是攻击者利用零抵押跨协议贷款的缺陷进行漏洞攻击,通过不断的利用杠杆来增加借款的金额,增加流动性,兑换为cySUDC,并通过多次操作获取大量cySUDC从而最终借出自己想要的资产。
安全建议
DeFi今年确实备受关注,黑客攻击也不断发生,类似CreamFinance这样的项目,包括creamfinance,alphafinance均受到不同程度的黑客攻击。针对频频发生的黑客攻击事件,我们给出的安全建议就是:
在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计;
可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞;
加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。