事件背景
CreamFinance是建立在智能合约基础上的开放普惠的金融体系。通过以方便快捷的方式在线提供消费贷款,是一个利用流动性挖矿的去中心化借贷和交易平台。
北京时间2020年2月13日,CreamFinance官方推特称出现黑客盗币事件,并表示随后会披露漏洞细节。
随后零时科技安全团队立刻对该安全事件进行复盘分析。
事件分析
通过分析此事件,该次攻击由0x905315602ed9a854e325f692ff82f58799beab57合约地址完成,目前该地址已被标记为盗币者地址,并存在多次攻击交易,如图:
Cream Finance与PleasrDAO达成合作,提供350万美元的DAO到DAO贷款:官方消息,Cream Finance与PleasrDAO达成合作,使用Iron Bank提供了首笔DAO到DAO的贷款,贷款额为350万美元,并由一篮子基金会NFT提供支持。为了促进贷款,PleasrDAO已将其4个基金会NFT转移到由PleasrDAO多签、CREAM Finance多签和Yearn Deployer持有的多重签名钱包中。
据悉,Iron Bank由Yearn Finance和CREAM Finance联合开发,以提供协议到协议的贷款,现在扩展到DAO到DAO贷款。[2021/7/18 1:01:01]
CremePieSwap已在Polygon上线并开启流动性挖矿:自动化做市商和DEX CremePieSwap近日已经在Polygon上线。据悉,CremePieSwap的目标是成为Polygon上第一个主要的自动化做市商(AMM)和去中心化交易所(DEX)。CremePieSwap在启动时已发布自己的跨链桥和DEX。此外,CremePieSwap今日已经推出流动性挖矿功能,目前支持CPIE-MATIC、CPIE-USDT 、CPIE-USDC交易对。[2021/7/17 0:59:22]
主要攻击的6笔交易如下:
1.攻击者通过杠杆不断借款,最终获得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
YFI创始人:DILL、Cream v2和Cover v1.1等4个项目正在接受审计:YFI创始人Andre Cronje发推表示:目前共有4个新项目正在接受审计,明确提到3个:分别是DILL代币、Cream v2借贷协议、Cover1.1 perps。第四个新项目并没有说明,引发众多推特用户猜测。
同时Andre Cronje“吐槽”一把审计过程:等待反馈的循环很痛苦,感觉就像“浪费掉”的时间,你不能开始新的工作,也不能发布项目。[2020/12/7 14:27:10]
2.攻击者继续进行借款并获得cySUSD。
动态 | 开源区块链平台Credits与阿里云合作开发区块链解决方案:开源区块链平台Credits最近宣布与阿里云合作,开发基于区块链的解决方案,以解决中国市场的物流问题。根据合作协议引入的3PL模型包括开发可编程的、具有成本效益的传感器,以部署在运输集装箱中。这些设备将连接到Credits区块链数据库,并提供有关容器状态和移动跟踪的不变数据流。(ambcrypto)[2019/12/3]
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
3.攻击者借出180万USDC,之后通过Curve.fi将USDC兑换为sUSD,最终获得cySUSD,并继续利用杠杆翻倍借款sUSD。最后偿还闪电贷。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻击者继续借出1000万USDC,通过兑换等操作获取cySUSD,并继续利用杠杆翻倍借款sUSD,最后偿还闪电贷。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻击者再次借出1000万USDC,通过兑换等操作获取cySUSD,最后归还闪电贷。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻击者利用自己得到的大量cySUSD资产,从Cream.Finance中借出多个数字资产,完成攻击获利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
总结
本次盗币是攻击者利用零抵押跨协议贷款的缺陷进行漏洞攻击,通过不断的利用杠杆来增加借款的金额,增加流动性,兑换为cySUDC,并通过多次操作获取大量cySUDC从而最终借出自己想要的资产。
安全建议
DeFi今年确实备受关注,黑客攻击也不断发生,类似CreamFinance这样的项目,包括creamfinance,alphafinance均受到不同程度的黑客攻击。针对频频发生的黑客攻击事件,我们给出的安全建议就是:
在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计;
可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞;
加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。