前言
8月30日,知道创宇区块链安全实验室监测到以太坊上的DeFi协议CreamFinance遭遇重入漏洞袭击,损失超1800万美元。实验室第一时间跟踪本次事件并分析。
涉及对象
攻击涉及合约地址:
0x38c40427efbaae566407e4cde2a91947df0bd22b
Cream Finance:网站DNS遭到攻击,用户不要输入私钥:3月15日消息,DeFi抵押借贷平台CreamFinance(CREAM)在推特表示,网站的DNS已被第三方攻破,一些用户在官网上看到对用户私钥的请求,请不要输入任何有关私钥和seedphrase的内容。团队表示不会要求用户提交任何的私钥或者和seedphrase相关的内容。[2021/3/15 18:46:50]
0x0ec306d7634314d35139d1df4a630d829475a125
受害涉及合约地址:
CErc20Delegator:0x2db6c82ce72c8d7d770ba1b5f5ed0b6e075066d6
CEther:0xd06527d5e56a3495252a528c4987003b712860ee
FTX已上线Cream(CREAM)现货、季度合约及永续合约:据官方公告,FTX现已上线Cream(CREAM)的现货、季度合约及永续合约。[2020/9/11]
Amp:0xff20817765cb7f73d4bde2e66e067e58d11095c2
简述攻击流程
首先黑客通过合约0x38c4进行闪电贷借出启动资金500ETH
前美国安全局雇员和西联汇款高管加入区块链金融服务公司Cred:区块链金融服务公司Cred(LBA)宣布前美国国家安全局雇员BethanyDeLude和西联汇款高管DanielGoldstein加入其团队,分别担任首席信息安全官(CISO)和首席技术官(CTO)。注:Cred是一家总部位于美国加州的持牌金融服务机构,为全球190个国家和地区的客户提供服务。(CoinDesk)[2020/6/23]
抵押ETH获得凭证
动态 | Bitcoin.com与区块链金融服务平台Cred联手开展加密贷款业务:据bitcoin.com消息,由比特耶稣创立的比特币一站式平台Bitcoin.com与区块链金融服务平台Cred近日宣布合作,将联手开展加密贷款业务,扩大全球加密货币的贷款和投资收入。[2019/7/15]
通过合约0x38c4调用CErc20Delegator合约借出19,480,000AMP
声音 | Morgan Creek创始人:没有任何政府或央行不知道比特币 比特币震惊了世界:Morgan Creek创始人Anthony Pompliano刚发推表示,没有任何政府或央行不知道比特币。比特币震惊了世界。[2019/7/15]
通过重入漏洞继续调用CEther合约借出355ETH
使用合约0x0ec3对合约0x38c4进行超额借贷清算
合约0x38c4转移凭证给合约0x0ec3赎回约187ETH
归还闪电贷
漏洞成因分析
获利条件
borrowFresh函数在发生借贷时是先通过doTransferOut函数转账,再记录最新变化
攻击条件
doTransferOut函数包含的transfer函数会使用_callPostTransferHooks函数会回调调用合约的tokensReceived函数
总结
本次闪电贷安全事件主要是项目方在设计代币时没考虑到协议之间的兼容性引发的重入危机,其实在前段时间已经爆出拥有类似回调功能的ERC777代币存在重入漏洞,如果项目方及时发现跟进,应该能减少甚至避免损失。
知道创宇区块链安全实验室再次提醒近期各链上频频爆发攻击事件,合约安全愈发需要得到迫切重视,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。