Cream Finance被盜3750萬美元，糙快猛的DeFi開發方式弊端初顯_CREAM

推特用戶josebaredes今日下午發文稱，CreamFinance遭遇黑客攻擊，看起來他們已經賺到了13,000ETH。而此時，Yearn創始人AndreCronje與Cream創始人JeffreyHuang正在ClubHouse談笑風生。CreamFinance官方注意到該事后，緊急發布推文稱，我們意識到潛在的漏洞，并正在對此進行調查。這場黑客攻擊到底是如何進行的？這場DeFi攻擊事件又給我們帶來哪些反思呢？CreamFinance到底是如何被攻擊？

SuperDuperSecret Co.完成超100萬美元種子輪融資:金色財經報道，區塊鏈游戲開發公司SuperDuperSecret Co.宣布已完成超100萬美元種子輪融資，Round 13 Digital Asset Fund、Merit Circle、Polygon、Solana、Overwolf、Big Brain Holdings、LD Capital、Sebastian Borget、Gabi Dijon和Christian Mane等參投。該公司正在開發一款“大逃殺”類型的國際象棋游戲“Royale Chess”，SuperDuperSecret會為新用戶創建一個匿名托管錢包，并存儲用戶在游戲生命周期內積累的所有資產并可通過區塊鏈獲得所有權。（cryptosaurus）[2023/4/22 14:19:24]

TheBlock研究分析師@FrankResearcher在推特分析了CreamFinance推出的零抵押跨協議貸款IronBank被盜約3750萬美元資產的過程。黑客具體攻擊操作如下：1.攻擊者使用AlphaHomora從IronBank借入sUSD，每次借入資金都是上次借款的兩倍。2.攻擊者通過兩筆交易來完成任務，每次將資金借給IronBank獲得cySUSD。3.在某些時候，攻擊者從Aavev2獲得了180萬美元的USDC閃電貸款，并使用Curve將USDC換成了sUSD。4.攻擊者把sUSD借給IronBank，使得他們可以繼續獲得cySUSD。5.一些sUSD用于償還閃電貸款。6.此外，1000萬美元的閃電貸款也被用來增加cySUSD的數量。7.最終攻擊者獲得了數額巨大的cySUSD，這讓他們可以從IronBank借到任何資產。8.隨后攻擊者借到了13.2萬枚WETH、360萬枚USDC、560萬枚USDT、420萬枚DAI。9.穩定幣已轉入Aavev2，隨后向IronBank部署者轉入1000ETH、向Homora部署者轉入1000ETH，向Tornado轉入220ETH、向Tornadogrant轉入100ETH，還有大約1.1萬枚ETH在攻擊者錢包地址中。Cream目前調查進展

安全公司：DeFi借貸協議Cream Finance攻擊者轉移約300萬美元:據成都鏈安鏈必追平臺監測顯示，Cream Finance的攻擊者將 3022735.901 DAI （價值約302萬美元）通過Curve Finance兌換為134.225renBTC，再將134.225 renBTC轉移至bc1qxn95s5c3q8y7q3w3gzgy0v74q05vvmvmsn8g8s地址，成都鏈安安全團隊將持續對新地址的資金進行分析和追蹤。據悉，2021年10月，DeFi抵押借貸協議Cream Finance遭遇閃電貸攻擊，損失1.3億美元。[2022/7/19 2:23:54]

Cream.Finance發現漏洞后，先是發推文“已暫停IronBank的資產借款”，“CREAMv1資金是安全的”，官方不久后將這兩條推文全部刪除。接著Cream.Finance再發推文稱：對Cream合約和市場已完成調查，目前運行正常。V1和V2均已重新啟用。檢查報告隨后發布。在Cream.Finance被黑客攻擊后，AlphaHomoraV2也遭受攻擊。AlphaFinanceLab官方緊急處理，隨后發推文稱：已收到關于AlphaHomoraV2漏洞的通知。官方正與AndreCronje及Cream.Finance一起研究。與此同時，漏洞已被修復，正在調查被盜資金，且已經鎖定主要嫌疑人。官方表示，用戶不能從AlphaHomorav2借入更多資金，即沒有新的杠桿頭寸，只能在現有頭寸上借入。V1是安全的，可以運行了。官方正處于高度戒備狀態，事后將披露更多細節。糙快猛DeFi開發方式帶來的弊端和反思

RedSwan CRE市場的兩項數字房地產交易將接受狗狗幣支付:9月22日消息，商業房地產（CRE）代幣化平臺RedSwan CRE宣布，其市場上的兩項數字資產交易將接受Dogecoin作為支付方式，另外還支持美元和與美元掛鉤的穩定幣。這些投資可以通過該公司的平臺進行，該平臺基于區塊鏈技術實現安全的流程。Apollo Apartments和Lakehouse Oakland兩項數字房地產交易的目標總額為3.2億美元。（PRNewswire）[2021/9/22 16:58:49]

今日DeFi項目漏洞頻發，展示出DeFi在迅猛發展背后的問題，或許到了DeFi開發者慢下來思考一下的時候了。在Cream.Finance等DeFi項目被攻擊后，神魚發微博稱，以AC為代表的糙快猛的DeFi開發方式，缺乏回歸測試，弊端開始顯現。值得一提的是，Yearn生態多個項目發生過黑客攻擊。其中包括Pickle、SushiSwap、Yearn和今日的Cream。2月12日，據特拉華州官網顯示，灰度投資除YFI外，還新注冊SNX、SUSHI、STX和COMP、MKR五種信托基金產品，注冊時間均為2月10日。雖然灰度CEO曾表示，注冊信托實體并不代表會推出相應產品，請用戶謹慎投資。但市場受消息影響異常興奮，從而促使這些DeFi項目最近兩日迅猛上漲，YFI價格更是一度超過BTC。然而，今日的黑客攻擊事件，直接影響了市場信心，DeFi龍頭領跌，市場似乎一下子冷靜了許多。DeFi的開發類似于樂高積木，其可組合性和可擴展性為區塊鏈行業帶來了新的發展空間；但是，DeFi中如果有一塊”積木“出現問題，也非常容易引發系統性崩潰，從而為用戶帶來無法彌補的損失。DeFi行業還很年輕，歷經的時間的考驗還很短，黑客事件接連發生后，開發者或許也該重新審視一下DeFi帶來的危機和機遇，從而打造出真正經得起時間考驗的去中心化金融體系。

聲音 | Crebaco Global CEO：迄今為止沒有研究表明加密行業對印度經濟構成威脅:印度區塊鏈和加密公司Crebaco Global Inc.首席執行官Sidharth Sogani近期接受采訪時表示，迄今為止沒有研究表明加密行業對印度經濟構成威脅：“到目前為止，加密經濟還不到2500億美元，假設全球所有的比特幣都被用于恐怖主義和洗錢，它仍然會比用于洗錢、恐怖主義融資和其他非法活動的法幣規模要小。”關于比特幣不可追溯的特性，以及許多人利用風險資本資金逃稅的說法，Sogani表示，印度央行只是在做假設，其主張是毫無根據的。他聲稱，BTC實際上是可追溯的，因為適當的監管基礎設施已經到位。他認為，如果銀行等受到監管的實體開始接受比特幣，那么政府以及印度央行等監管機構就能更好地追蹤比特幣的動向。（Cointelegraph）[2020/2/6]

Tags：CRECREAMREACREACREMATcream幣還有救嗎男生用ethereal當網名什么寓意Block Creatures

Bitcoin