事件背景
CreamFinance是建立在智能合约基础上的开放普惠的金融体系。通过以方便快捷的方式在线提供消费贷款,是一个利用流动性挖矿的去中心化借贷和交易平台。
北京时间2020年2月13日,CreamFinance官方推特称出现黑客盗币事件,并表示随后会披露漏洞细节。
随后零时科技安全团队立刻对该安全事件进行复盘分析。
事件分析
通过分析此事件,该次攻击由0x905315602ed9a854e325f692ff82f58799beab57合约地址完成,目前该地址已被标记为盗币者地址,并存在多次攻击交易,如图:
Discreet Labs宣布Peter Abilla为新任首席商务官:据官方消息,Discreet Labs宣布前Harmony核心成员 Peter Abilla 已经加入 Findora 技术开发商 Discreet Labs,并担任首席商务官。Peter Abilla 曾担任 Mainframe 和 ThunderCore 的增长营销和社区副总裁,也曾在 Oasis Labs 从事社区和开发人员营销工作,并推动 Harmony 构建了一个健康的DeFi系统,为 Harmony 生态系统带来增长。其在软件开发和加密领域丰富的经验将帮助 Discreet Labs 的旗舰项目 Findora 扩展以太坊隐私。[2022/8/5 12:04:02]
Moragn Creek创始人将讨论将比特币纳入资产负债表的公司:Moragn Creek联合创始人Anthony?Pompliano发推文称,6月22日,将与Genesis Trading CEO主持网络研讨会,专注于将比特币纳入资产负债表的公司,讨论为什么这些公司会将比特币放在他们的资产负债表上。[2021/6/22 23:55:23]
主要攻击的6笔交易如下:
1.攻击者通过杠杆不断借款,最终获得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
Morgan Creek创始人:只有黄金和比特币可被视为金钱:金色财经报道,Morgan Creek资本管理公司创始人Mark Yusko表示,只有黄金和比特币才可以被视为金钱。其他资产类别只代表信贷,除了比特币,它是数字黄金。[2020/7/1]
2.攻击者继续进行借款并获得cySUSD。
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
声音 | Cred联合创始人:比特币不会死,其比大多数政府货币更受信任:金色财经报道,Cred联合创始人兼首席执行官Dan Schatt指出,比特币被记者宣布死亡378次,其中包括今年的40次。但是比特币不会死,因为它比大多数政府货币更受信任。比特币没有中介机构。[2019/12/26]
3.攻击者借出180万USDC,之后通过Curve.fi将USDC兑换为sUSD,最终获得cySUSD,并继续利用杠杆翻倍借款sUSD。最后偿还闪电贷。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻击者继续借出1000万USDC,通过兑换等操作获取cySUSD,并继续利用杠杆翻倍借款sUSD,最后偿还闪电贷。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻击者再次借出1000万USDC,通过兑换等操作获取cySUSD,最后归还闪电贷。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻击者利用自己得到的大量cySUSD资产,从Cream.Finance中借出多个数字资产,完成攻击获利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
总结
本次盗币是攻击者利用零抵押跨协议贷款的缺陷进行漏洞攻击,通过不断的利用杠杆来增加借款的金额,增加流动性,兑换为cySUDC,并通过多次操作获取大量cySUDC从而最终借出自己想要的资产。
安全建议
DeFi今年确实备受关注,黑客攻击也不断发生,类似CreamFinance这样的项目,包括creamfinance,alphafinance均受到不同程度的黑客攻击。针对频频发生的黑客攻击事件,我们给出的安全建议就是:
在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计;
可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞;
加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
美东时间周四,随着美债收益率再度飙升,美国三大股指集体收跌。截至收盘,道指跌153.07点,或0.46%,报32862.30点;纳指跌409.03点,或3.02%,报13116.17点;标普50.
1900/1/1 0:00:00中新经纬客户端2月20日电题:《夏春等:通胀压力下,为何黄金下跌而比特币飞涨?》作者夏春(诺亚控股集团首席经济学家)成亚曼(诺亚国际研究部副总裁)春节后开工第一天.
1900/1/1 0:00:00FX168财经报社(北美)讯周四,比特币一度上涨,突破5万美元,这是加密货币行业看涨的新迹象,区块链数据显示,一些大投资者开始囤积长期货币.
1900/1/1 0:00:00新安晚报安徽网大皖客户端讯掩耳盗铃,作案前搜索“币”是否犯罪。稳定“军心”,称“没有风险挣不了大钱,干一票大的就收手。”假装交易,雇佣保安跟随,却在首次作案时便落网.
1900/1/1 0:00:00大家好,我是电动车情报站站长。农历元宵节过完,心满意足地摸了摸肚皮,才认定新的一年正式开始。 刚过去的2020年显然是不平凡的一年,之于新能源汽车市场,亦是如此.
1900/1/1 0:00:002020年以来,伴随着新型冠状病的全球流行,呼吸道等肺部传染病令人闻声色变。在历史上,有许多对人类及人类社会文明造成巨大打击的传染病,结核病是其中最为古老的传染病之一.
1900/1/1 0:00:00
木星链