事件背景
CreamFinance是建立在智能合约基础上的开放普惠的金融体系。通过以方便快捷的方式在线提供消费贷款,是一个利用流动性挖矿的去中心化借贷和交易平台。
北京时间2020年2月13日,CreamFinance官方推特称出现黑客盗币事件,并表示随后会披露漏洞细节。
随后零时科技安全团队立刻对该安全事件进行复盘分析。
事件分析
通过分析此事件,该次攻击由0x905315602ed9a854e325f692ff82f58799beab57合约地址完成,目前该地址已被标记为盗币者地址,并存在多次攻击交易,如图:
美国玩具制造商美泰旗下NFT平台Mattel Creations将推出P2P市场功能:金色财经报道,美国玩具制造商美泰旗下数字藏品平台Mattel Creations将于4月27日推出P2P(点对点)市场功能,该功能由NFT公司Rarible提供支持。
据悉,美泰是芭比娃娃制造商,于去年11月在Flow链上推出其NFT市场Mattel Creations。[2023/4/23 14:21:37]
主要攻击的6笔交易如下:
1.攻击者通过杠杆不断借款,最终获得cySUSD。
Cream Finance攻击者转移约100万美元资金:金色财经报道,据区块链安全审计公司Beosin旗下的平台监测显示,2023年2月11日,Cream Finance攻击者0x70747df6ac244979a2ae9ca1e1a82899d02bbea4连续两次将50万个DAI兑换成329个ETH,即100万个DAI兑换了658个ETH。然后再转账至0xdece02a7c930d917d870ec8859434791f86d63c3地址,接着攻击者又将资金转到TradeOgre交易所。[2023/2/11 12:01:10]
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
Meta 推出Creators of Tomorrow展区:金色财经消息,Meta(原 Facebook)推出Creators of Tomorrow展区,展示来自欧洲、中东和非洲的各种各样的个人人才,明年 Meta 将与这些创作者密切合作,帮助他们扩大受众群体,并在未来几个月内关注来自世界各地的更多杰出创作者。
此外 Meta 在南非将举办专门的“创作者日”活动,其中包括涵盖货币化和品牌内容提示等研讨会,同时计划将所有的明日创作者聚集在一起,参加今年 11 月在伦敦举办的元宇宙创作者周。[2022/9/6 13:11:40]
前美国安全局雇员和西联汇款高管加入区块链金融服务公司Cred:区块链金融服务公司Cred(LBA)宣布前美国国家安全局雇员BethanyDeLude和西联汇款高管DanielGoldstein加入其团队,分别担任首席信息安全官(CISO)和首席技术官(CTO)。注:Cred是一家总部位于美国加州的持牌金融服务机构,为全球190个国家和地区的客户提供服务。(CoinDesk)[2020/6/23]
2.攻击者继续进行借款并获得cySUSD。
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
3.攻击者借出180万USDC,之后通过Curve.fi将USDC兑换为sUSD,最终获得cySUSD,并继续利用杠杆翻倍借款sUSD。最后偿还闪电贷。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻击者继续借出1000万USDC,通过兑换等操作获取cySUSD,并继续利用杠杆翻倍借款sUSD,最后偿还闪电贷。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻击者再次借出1000万USDC,通过兑换等操作获取cySUSD,最后归还闪电贷。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻击者利用自己得到的大量cySUSD资产,从Cream.Finance中借出多个数字资产,完成攻击获利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
总结
本次盗币是攻击者利用零抵押跨协议贷款的缺陷进行漏洞攻击,通过不断的利用杠杆来增加借款的金额,增加流动性,兑换为cySUDC,并通过多次操作获取大量cySUDC从而最终借出自己想要的资产。
安全建议
DeFi今年确实备受关注,黑客攻击也不断发生,类似CreamFinance这样的项目,包括creamfinance,alphafinance均受到不同程度的黑客攻击。针对频频发生的黑客攻击事件,我们给出的安全建议就是:
在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计;
可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞;
加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。