比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads

DeFi之道丨詳解Cream鐵金庫被黑客竊取3750萬美元事件,又是閃電貸的黑鍋_ANC

Author:

Time:1900/1/1 0:00:00

2月13日下午4點左右,DeFi借貸平臺CreamFinance官方推特發布消息稱,

“我們意識到一個潛在的漏洞,并正在對此進行調查。感謝您在我們進行調查時的支持。”

根據ICOAnalytics分析,在這次攻擊中,攻擊者利用CreamFinance的鐵金庫轉走13000多個ETH。0x905315602Ed開頭地址在Etherscan上已被標記為「CreamFinanceIronBankExploiter」,該地址部分資產已發送至以太坊隱私交易平臺Tornado.Cash進行混幣交易,此外還向杠桿挖礦協議AlphaHomora部署者發送了1000ETH,向CreamFinance發送了1000ETH,向Tornadogrant發送了100ETH,該地址目前持有超1353萬美元的ERC20代幣。

DeFi借貸協議Euler Finance通過“將MKR添加為跨層資產”的提案:5月7日消息,DeFi借貸協議Euler Finance發推稱,提案eIP10已經通過,并已部署至主網。該提案提議將MKR添加為跨層資產,借入系數為0.66,并對利率模型進行了修正,旨在提高Euler Finance的資本效率和實用性。MKR現在是Euler上的跨層資產,用戶現可以更有效的資本方式借入MKR。[2022/5/7 2:56:53]

不過,此次攻擊的發生并不是因為CreamFinance合約出現問題,而是攻擊者通過AlphaHomoraV2的漏洞完成的,漏洞出現在Ironbank的Alpha一端。

DeFi跨鏈收益聚合器Autofarm將在Immunefi漏洞賞金計劃金額翻倍:據官方消息,DeFi跨鏈收益聚合器Autofarm此前在Immunefi平臺推出的漏洞賞金計劃,現在將賞金額翻倍,提高至10萬美元。該漏洞賞金計劃的重點是Autofarm的智能合約和防止用戶資金遭受損失。[2021/5/23 22:34:32]

Cream最初發布推文稱,CREAMv1資金是安全的,將暫停IronBank資產借款。但官方之后刪除了這條推文后補充道,調查發現,Cream的合約和市場運作正常。V1和V2市場均已重新啟用。隨后將披露漏洞細節。

TheBlock研究分析師IgorIgamberdiev在推特上分析了這次攻擊的過程:

“Cream的Ironbank被黑客盜走3750萬美元,讓我們看看發生了什么。

DeFi板塊加密貨幣普漲,CRV、UNI、1INCH價格創下歷史新高:1月31日,DeFi概念板塊普漲,其中CRV一度突破2.8美元;UNI現報價19.5美元;1INCH現報價4.9美元,日漲幅均超30%,創下歷史新高。[2021/1/31 18:30:50]

1.攻擊者使用AlphaHomora從IronBank借入sUSD。在攻擊過程中,他們每次借的錢是前一次的兩倍。

2.他們通過兩次交易來完成此操作,每次借出資金并還給IronBank,同時接收cySUSD。

DeFi項目UniCats涉嫌騙取用戶20萬美元加密資產:金色財經報道,加密錢包ZenGo的研究人員Alex Manuskin透露,一個所謂基于以太坊網絡的“yield farming平臺”UniCats涉嫌從幾個用戶那里竊取了包括Uniswap的治理代幣UNI在內的至少價值20萬美元的加密資產。智能合約中的一個后門允許UniCats保留對用戶代幣的控制權,即使這些代幣已經從用戶池中撤出。而此前針對Bancor的攻擊也使用了類似的漏洞。[2020/10/6]

3.在攻擊過程中,攻擊者從Aavev2那里獲得了180萬美元的USDC閃電貸,并使用Curve將USDC兌換為sUSD。

4.他們將這些sUSD借給IronBank,從而使他們可以繼續從IronBank借入和借出cySUSD。

5.當然,sUSD被用來償還閃電貸。

6.此外,還獲得了1000萬美元的閃電貸,也用于增加cySUSD的數量。

7.最后,他們的cySUSD數量達到了令人難以置信的數量,這使他們可以從IronBank借錢。

8.然后他們借入:

-13200WETH

-360萬USDC

-560萬USDT

-420萬DAI

9.這些穩定幣然后被存入Aavev2,1000ETH發送給IronBank合約部署者,1000ETH發送到Homora合約部署者,220ETH發送到TornadoCash,100ETH發送給gitcoin并資助給Tornado,還剩大約11000ETH仍處于攻擊者地址余額。

AlphaFinanceLab之后發推稱,我們收到關AlphaHomoraV2被攻擊的通知,現在正在與AndreCronje和Cream.Finance共同應對。漏洞已修復,正在調查被盜資金,已經鎖定了主要嫌疑人。用戶無法從AlphaHomorav2借入更多資金等于沒有新的杠桿頭寸,只能在現有頭寸上借入。V1在安全運行,我們正處于高度戒備狀態,區塊鏈安全研究員samczsun和其他人正在調查問題,隨后將披露更多信息。

又是閃電貸?

在這次攻擊中,我們再次看到了閃電貸的身影。有網友表示,什么時候能夠把閃電貸這種東西關掉?并@AAVE創始人StaniKulechov。

Kulechov回應稱,這些攻擊可以在閃電貸的情況下完成,實際上,閃電貸實際上是在幫助協議變得更有彈性,并且大多數閃電貸被消耗在諸如@DeFiSaver再融資和去杠桿工具。

2月5日,YearnFinancev1版本的yDAI機槍池被黑客攻擊,損失了1100萬美元,黑客同樣在攻擊中利用了閃電貸。

而在此前發生的各種DeFi黑客事件中,閃電貸的身影從未消失。閃電貸提供的無抵押貸款帶來了很多便利,但是這種便利同樣屬于黑客。如何防御閃電貸攻擊應該是每一個相關DeFi協議需要重視的。

Tags:EFIANCUSDNCEMEFIInstrumental Finance幣世界快訊GUSDTSMP Finance

抹茶交易所
金色×魚池 | 礦機開箱:買不到比特幣以太坊礦機 能買它嗎?_數字資產

金色×魚池|礦機開箱:買不到比特幣以太坊礦機能買它嗎? 金色熱搜榜:OKB居于榜首:根據金色財經排行榜數據顯示,過去24小時內,OKB搜索量高居榜首.

1900/1/1 0:00:00
Flow破圈,NFT熱度爆炸!且聽Flow創始人和NFT大V們怎么講_NBA

目前,“NBATopShot”總銷售額超過4600萬美元,遠超曾經的王牌項目CryptoKitties,排名NFT銷售榜第一位。由此,NFT市場被徹底點燃.

1900/1/1 0:00:00
金色觀察 | Robinhood限制交易 DeFi股票交易量攀升_DEFI

Robinhood限制交易,DeFi股票交易量攀升上周Robinhood限制交易,股票投資者無法買賣,DeFi領域的合成資產交易正在升溫.

1900/1/1 0:00:00
詳解去中心化代幣發行機制IDO:七大平臺的特性與現狀_SWAP

得益于DeFi基礎設施的優化,以及DeFi用戶大規模增加,越來越多項目選擇IDO的方式進行募資,UMA、MTA、API3、PREP等知名代幣都是如此,帶來顯著的財富效應.

1900/1/1 0:00:00
機構散戶集體「踏空」 大漲前夕市場再現減倉熱潮_比特幣

機構散戶集體「踏空」大漲前夕市場再現減倉熱潮 鏈聞ChainNews 剛剛 29 2月6日,CFTC公布了最新一期CME?比特幣期貨周報,最新統計周期內BTC反彈了近4000美元.

1900/1/1 0:00:00
幣安實驗室領投,波卡去中心化應用Plasm A輪融資240萬美元_SUN

據TheBlock2月9日報道,波卡上的去中心化應用中心Plasm從幣安實驗室領投的投資者那里獲得了240萬美元的投資.

1900/1/1 0:00:00
ads