比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > XMR > Info

Cream Finance被盜3750美元,糙快猛的DeFi開發方式弊端初顯_REA

Author:

Time:1900/1/1 0:00:00

推特用戶josebaredes今日下午發文稱,CreamFinance遭遇黑客攻擊,看起來他們已經賺到了13,000ETH。而此時,Yearn創始人AndreCronje與Cream創始人JeffreyHuang正在ClubHouse談笑風生。

CreamFinance官方注意到該事后,緊急發布推文稱,我們意識到潛在的漏洞,并正在對此進行調查。這場黑客攻擊到底是如何進行的?這場DeFi攻擊事件又給我們帶來哪些反思呢?

CreamFinance到底是如何被攻擊?

TheBlock研究分析師@FrankResearcher在推特分析了CreamFinance推出的零抵押跨協議貸款IronBank被盜約3750美元資產的過程。

DeFi投資平臺Credix在A輪融資中籌集1125萬美元:金色財經報道,去中心化信貸平臺Credix表示,它已獲得1125萬美元的A輪融資,以尋求在拉丁美洲的擴張。Credix是一個基于Solana的信貸市場,該公司周二在一份聲明中表示,它于2021年在巴西推出,并希望在今年晚些時候開始在墨西哥和哥倫比亞開展業務。參與本輪融資的還有Valor Capital Group、Victory Park Capital和ParaFi Capital。該地區最大的銀行Itau旗下的Itaú Latam董事長Ricardo Villela Marino也作為私人投資者參與其中。Credix的最新融資建立在其于2021年底獲得的250萬美元種子輪融資之上,ParaFi也參與了該輪融資。(the block)[2022/9/6 13:12:27]

黑客具體攻擊操作如下:

Gravity DEX開發團隊成立新項目Crescent:3月11日消息,開發流動性模塊Gravity DEX的B-Harvest團隊分拆成立了一個名為Crescent的新項目,正在尋求完全重構和擴展Gravity DEX。Crescent由Ignite Ventures資助,并與Ignite團隊合作支持Crescent項目。

Crescent已經公布了治理代幣CRE分配模型,總量2億枚,其中將向ATOM委托者(delegator)空投1億枚,另外1億枚作為戰略儲備。空投方面,5000萬枚CRE可在Crescent網絡啟動后推出Crescent DEX(DEXdrop)時索取,具體空投數量會根據二次空投系統確定,即按UTC時間2022年1月1日00:00快照時委托數量的平方根來決定,如果參與一些治理提案,能獲得通過固定乘數獲得更多獎勵;剩余5000萬枚將在一定時期內分配給使用Crescent Boost的ATOM委托人。[2022/3/11 13:50:06]

1.攻擊者使用AlphaHomora從IronBank借入sUSD,每次借入資金都是上次借款的兩倍。

Cream Finance引入資產上限規則:金色財經報道,Cream Finance宣布引入資產上限規則,其成為第一個實施資產上限的DeFi借貸協議。資產上限限制了整個CREAM協議中可以提供的任何資產的數量。通過限制潛在的價格激烈下跌或任何一種資產的無限鑄幣的影響,這有助于改善CREAM的整體財務狀況。CREAM用戶可以通過投票決定CREAM上新上市的和現有資產的資產上限。[2021/1/12 15:56:01]

2.攻擊者通過兩筆交易來完成任務,每次將資金借給IronBank獲得cySUSD。

3.在某些時候,攻擊者從Aavev2獲得了180萬美元的USDC閃電貸款,并使用Curve將USDC換成了sUSD。

YFI創始人提議增加KP3R-ETH和KR3R-CREAM流動性礦池:YFI創始人Andre Croje提議增加KP3R-ETH和KR3R-CREAM流動性礦池。流動性礦池將成為提供職位信用的擔保品。他提出社區參與者可以討論增加其它流動性礦池。[2020/11/2 11:26:11]

4.攻擊者把sUSD借給IronBank,使得他們可以繼續獲得cySUSD。

5.一些sUSD用于償還閃電貸款。

6.此外,1000萬美元的閃電貸款也被用來增加cySUSD的數量。

7.最終攻擊者獲得了數額巨大的cySUSD,這讓他們可以從IronBank借到任何資產。

8.隨后攻擊者借到了13.2萬枚WETH、360萬枚USDC、560萬枚USDT、420萬枚DAI。

9.穩定幣已轉入Aavev2,隨后向IronBank部署者轉入1000ETH、向Homora部署者轉入1000ETH,向Tornado轉入220ETH、向Tornadogrant轉入100ETH,還有大約1.1萬枚ETH在攻擊者錢包地址中。

Cream目前調查進展

Cream.Finance發現漏洞后,先是發推文“已暫停IronBank的資產借款”,“CREAMv1資金是安全的”,官方不久后將這兩條推文全部刪除。

接著Cream.Finance再發推文稱:對Cream合約和市場已完成調查,目前運行正常。V1和V2均已重新啟用。檢查報告隨后發布。

在Cream.Finance被黑客攻擊后,AlphaHomoraV2也遭受攻擊。AlphaFinanceLab官方緊急處理,隨后發推文稱:已收到關于AlphaHomoraV2漏洞的通知。官方正與AndreCronje及Cream.Finance一起研究。與此同時,漏洞已被修復,正在調查被盜資金,且已經鎖定主要嫌疑人。官方表示,用戶不能從AlphaHomorav2借入更多資金,即沒有新的杠桿頭寸,只能在現有頭寸上借入。V1是安全的,可以運行了。官方正處于高度戒備狀態,事后將披露更多細節。

糙快猛DeFi開發方式帶來的弊端和反思

今日DeFi項目漏洞頻發,展示出DeFi在迅猛發展背后的問題,或許到了DeFi開發者慢下來思考一下的時候了。在Cream.Finance等DeFi項目被攻擊后,神魚發微博稱,以AC為代表的糙快猛的DeFi開發方式,缺乏回歸測試,弊端開始顯現。值得一提的是,Yearn生態多個項目發生過黑客攻擊。其中包括Pickle、SushiSwap、Yearn和今日的Cream。

2月12日,據特拉華州官網顯示,灰度投資除YFI外,還新注冊SNX、SUSHI、STX和COMP、MKR五種信托基金產品,注冊時間均為2月10日。

雖然灰度CEO曾表示,注冊信托實體并不代表會推出相應產品,請用戶謹慎投資。但市場受消息影響異常興奮,從而促使這些DeFi項目最近兩日迅猛上漲,YFI價格更是一度超過BTC。然而,今日的黑客攻擊事件,直接影響了市場信心,DeFi龍頭領跌,市場似乎一下子冷靜了許多。

DeFi的開發類似于樂高積木,其可組合性和可擴展性為區塊鏈行業帶來了新的發展空間;但是,DeFi中如果有一塊”積木“出現問題,也非常容易引發系統性崩潰,從而為用戶帶來無法彌補的損失。DeFi行業還很年輕,歷經的時間的考驗還很短,黑客事件接連發生后,開發者或許也該重新審視一下DeFi帶來的危機和機遇,從而打造出真正經得起時間考驗的去中心化金融體系。

Tags:CREREACREAMCREACREDSDragon Evolution Augmented RealityCream ETH 2cream幣團隊

XMR
幣安Launchpad開放SafePal(SFP)投入通道_CHP

親愛的用戶: 幣安Launchpad于2021年02月08日中午12:00開放SafePal投入通道,本次Launchpad采用全新投入模式,基于用戶6日BNB日平均持倉進行投入.

1900/1/1 0:00:00
星球日報 | 加密借貸平臺BlockFi推出比特幣信托;CME以太坊期貨合約首日交易近400份合約_FIN

頭條 加密資產借貸平臺BlockFi推出比特幣信托加密資產借貸平臺BlockFi已正式推出新的比特幣信托.

1900/1/1 0:00:00
Marlin Protocol 與 Injective Protocol 達成戰略合作伙伴關系_THE

鏈聞消息,Layer0擴展項目MarlinProtocol宣布與去中心化交易協議InjectiveProtocol達成戰略合作伙伴關系.

1900/1/1 0:00:00
比特幣對美元的投機性攻擊_STRAT

各類資產隨時間的表現 并非所有的資產都是一樣的。有些會升值,有些則會隨著時間的推移而失去價值。這在我們消費的東西上顯而易見,比如我們吃的食品或穿的衣服.

1900/1/1 0:00:00
DeFi信用合作社Xend Finance,如何收獲眾多明星投資機構青睞?_THE

2021年2月16日晚8點,BlockArk分析師Jimmi對話XendFinance創始人Ugoaronu,在Uniswap中文社區進行了“DeFi信用合作社XendFinance.

1900/1/1 0:00:00
熊市看基本面,牛市看故事 | 疑問解答_CRV

1、道兄,每天都在聽你的分享,你說現在更看好Defi頭部項目,但幣種太多了,有沒有現在合適入場的項目呀?---我曾經在文章中羅列過這些幣:UNI、BAL、COMP、Maker、CRV、Aave、.

1900/1/1 0:00:00
ads