DeFi之道丨详解Cream铁金库被黑客窃取3750万美元事件,又是闪电贷的黑锅

2月13日下午4点左右,DeFi借贷平台CreamFinance官方推特发布消息称,

“我们意识到一个潜在的漏洞,并正在对此进行调查。感谢您在我们进行调查时的支持。”

根据ICOAnalytics分析,在这次攻击中,攻击者利用CreamFinance的铁金库转走13000多个ETH。0x905315602Ed开头地址在Etherscan上已被标记为「CreamFinanceIronBankExploiter」,该地址部分资产已发送至以太坊隐私交易平台Tornado.Cash进行混币交易,此外还向杠杆挖矿协议AlphaHomora部署者发送了1000ETH,向CreamFinance发送了1000ETH,向Tornadogrant发送了100ETH,该地址目前持有超1353万美元的ERC20代币。

不过,此次攻击的发生并不是因为CreamFinance合约出现问题,而是攻击者通过AlphaHomoraV2的漏洞完成的,漏洞出现在Ironbank的Alpha一端。

俄罗斯最大的银行联邦储蓄银行计划推出DeFi平台:2月4日消息,俄罗斯最大的银行联邦储蓄银行(Sberbank)计划在未来几个月内推出去中心化金融(DeFi)平台。Sberbank表示,目前正在对平台进行测试。(国际文传电讯社)[2023/2/4 11:47:34]

Cream最初发布推文称,CREAMv1资金是安全的,将暂停IronBank资产借款。但官方之后删除了这条推文后补充道,调查发现,Cream的合约和市场运作正常。V1和V2市场均已重新启用。随后将披露漏洞细节。

《经济学人》杂志刊登DeFi主题封面文章:9月17日消息,《经济学人》杂志官方推特发布其新一期杂志的封面,介绍称,去中心化金融是颠覆金融业的三大技术趋势之一——它有可能重塑该行业的运作方式。在本周的封面文章中,我们深入了解“DeFi”兔子洞。[2021/9/17 23:31:38]

TheBlock研究分析师IgorIgamberdiev在推特上分析了这次攻击的过程:

“Cream的Ironbank被黑客盗走3750万美元,让我们看看发生了什么。

1.攻击者使用AlphaHomora从IronBank借入sUSD。在攻击过程中,他们每次借的钱是前一次的两倍。

DeFIL2.0 TVL突破1.67亿美金:据最新消息,截至目前,DeFIL2.0平台总锁定价值(TVL)已突破1.67亿美金,借款总金额近5000万美金。同时,Uniswap上DFL-USDT LP流动池资金量已超过1150万美金,排名全球第56位。据悉,DeFIL2.0将于8月23日正式上线FIL永续标准算力通证FILST,FILST可流通,挖矿产出高于传统算力。[2021/8/18 22:21:29]

2.他们通过两次交易来完成此操作,每次借出资金并还给IronBank,同时接收cySUSD。

DeFi风险管理平台Saffron集成Chainlink:金色财经报道,据官方消息,DeFi风险管理平台Saffron Finance已集成预言机解决方案Chainlink,以获取安全、可靠的链上参考价格。[2021/4/6 19:48:17]

3.在攻击过程中,攻击者从Aavev2那里获得了180万美元的USDC闪电贷,并使用Curve将USDC兑换为sUSD。

4.他们将这些sUSD借给IronBank,从而使他们可以继续从IronBank借入和借出cySUSD。

5.当然,sUSD被用来偿还闪电贷。

水桥服务联盟应俊:DeFi 只是更高层级的金融组合:9月19日, 水桥服务联盟首席咨询顾问应俊在“了不起的社区”厦门站活动中表示:DeFi 只是更高层级的金融组合。虽然DeFi 带来了瞬间的市场繁荣,但是还未成熟就已产生次贷,并出现年化收益虚高、智能合约未合理审查、治理代币出现一二级倒挂等问题,而决定DeFi发展的分水岭在于收益是否来源于真实的商业场景。

据悉,水桥区块链BaaS系统是面向开发者提供通用区块链技术的企业服务平台。能够帮助企业快速构建稳定的区块链生产环境,实现业务场景核心数据快速上链,建立公开、透明、可信的价值互联网分布式商业。

“了不起的社区”由金色财经、哼哈互动联合主办,是区块链行业首家以社区为垂直领域线下资源对接会,之前已在深圳、杭州、郑州站成功举办。[2020/9/19]

6.此外,还获得了1000万美元的闪电贷,也用于增加cySUSD的数量。

7.最后,他们的cySUSD数量达到了令人难以置信的数量,这使他们可以从IronBank借钱。

8.然后他们借入:

-13200WETH

-360万USDC

-560万USDT

-420万DAI

9.这些稳定币然后被存入Aavev2,1000ETH发送给IronBank合约部署者,1000ETH发送到Homora合约部署者,220ETH发送到TornadoCash,100ETH发送给gitcoin并资助给Tornado,还剩大约11000ETH仍处于攻击者地址余额。

AlphaFinanceLab之后发推称,我们收到关AlphaHomoraV2被攻击的通知,现在正在与AndreCronje和Cream.Finance共同应对。漏洞已修复,正在调查被盗资金,已经锁定了主要嫌疑人。用户无法从AlphaHomorav2借入更多资金等于没有新的杠杆头寸,只能在现有头寸上借入。V1在安全运行,我们正处于高度戒备状态,区块链安全研究员samczsun和其他人正在调查问题,随后将披露更多信息。

又是闪电贷?

在这次攻击中,我们再次看到了闪电贷的身影。有网友表示,什么时候能够把闪电贷这种东西关掉?并@AAVE创始人StaniKulechov。

Kulechov回应称,这些攻击可以在闪电贷的情况下完成,实际上,闪电贷实际上是在帮助协议变得更有弹性,并且大多数闪电贷被消耗在诸如@DeFiSaver再融资和去杠杆工具。

2月5日,YearnFinancev1版本的yDAI机池被黑客攻击,损失了1100万美元,黑客同样在攻击中利用了闪电贷。

而在此前发生的各种DeFi黑客事件中,闪电贷的身影从未消失。闪电贷提供的无抵押贷款带来了很多便利,但是这种便利同样属于黑客。如何防御闪电贷攻击应该是每一个相关DeFi协议需要重视的。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

世界币没有中间商瞎折腾的DEX

没有中间商瞎折腾的DEX 区块引擎 刚刚 20 2020年是去中心化交易所兴起与爆发的一年,而2021年将是它们成熟并可能成为主流的一年。通过优化的可用性,更深的流动性和新兴的可组合性,DEX生态系统将愈发强大.

USDT“创作者经济”:NFT将如何出圈

“不舒服的椅子”-来自Foundation的基于NFT的顶级艺术品“我不是个生意人,我这个人就是生意!”——?Jay?Z目前已有四位创作者在Teachable上赚了1000万美元.

[0:0ms0-2:890ms