前言
北京时间10月27日晚,以太坊DeFi协议CreamFinance再次遭到攻击,损失高达1.3亿美元。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。
分析
基础信息
Cream与Immunefi启动150万美元的漏洞赏金计划,以加强Cream安全性:4月21日消息,Cream Finance正在与Immunefi,Armor.fi和DeFiSafety合作,为CREAM Finance协议和更广泛的DeFi生态系统带来更强的安全性。
此外,Cream与Immunefi启动了一个150万美元的漏洞赏金计划,重点是加强Cream的协议,API和网站安全性。[2021/4/21 20:43:32]
攻击者:0x24354D31bC9D90F62FE5f2454709C32049cf866b
攻击tx:0x0fe2542079644e107cbf13690eb9c2c65963ccb79089ff96bfaf8dced2331c92
Gate.io将于明日12:00开通CREDIT/USDT交易服务:据官方公告,Gate.io单个投票上币第十三期PROXI(CREDIT)投票上币活动结束,本次活动参与人数为2,226,共投出51,095,455票。票数超过1000万票,符合上币要求。按照规则,Gate.io已为用户空投75,000枚的CREDIT代币,并将于8月26日(明日)中午12:00开通CREDIT/USDT交易和提现服务。[2020/8/25]
攻击合约1:0x961D2B694D9097f35cfFfa363eF98823928a330d
攻击合约2:0xf701426b8126BC60530574CEcDCb365D47973284
动态 | Morgan Creek联合创始人推特账户被冻结:金色财经报道,Morgan Creek Digital联合创始人Anthony Pompliano的推特账户/img/20230515020843354073/1.jpg "/>
细节
此次攻击的核心代码原因在于PriceOracleProxy喂价合约对抵押资产的价值计算出现问题,价格因子pricePerShare通过简单的资产数额占比来动态定价,而这种方式容易受到闪电贷的大额资产操控。
此次攻击的成因是多维度的,同样也反映出其他很多问题,比如Cream协议允许yUSD的重复循环地存入和借出、ySwap的凭证可直接转给yUSD等等。
总结
CreamFinance遭遇的闪电贷攻击的核心原因在于对抵押物价值的计算易被操控,使得攻击者通过闪电贷的巨额资金抬高了抵押物的价格,而超额借出了Cream金库的资产。
近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。