http://www.7klian.com

零时科技|CreamFinance协议遭黑客闪电进攻事件阐明

零时科技|CreamFinance协议遭黑客闪电打击事件阐发

事件配景

Cream Finance是成立在智能合约基本上的开放普惠的金融体系。通过以利便快捷的方法在线提供消费贷款,是一个操作活动性挖矿的去中心化借贷和生意业务平台。

北京时间2020年2月13日,Cream Finance官方推特称呈现黑客盗币事件,并暗示随后会披露裂痕细节。

零时科技|CreamFinance协议遭黑客闪电打击事件阐发

随后零时科技安详团队立即对该安详事件举办复盘阐明。

事件阐明

通过阐明此事件,该次进攻由0x905315602ed9a854e325f692ff82f58799beab57合约地点完成,今朝该地点已被标志为盗币者地点,并存在多次进攻生意业务,如图:

零时科技|CreamFinance协议遭黑客闪电打击事件阐发

主要进攻的6笔生意业务如下:

1. 进攻者通过杠杆不绝借钱(每次借钱为前一次的两倍),最终得到cySUSD。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

零时科技|CreamFinance协议遭黑客闪电打击事件阐发

2. 进攻者继承举办借钱并得到cySUSD(和上次生意业务一样)。

https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4

零时科技|CreamFinance协议遭黑客闪电打击事件阐发

3. 进攻者借出180万USDC,之后通过Curve.fi将USDC兑换为sUSD,最终得到cySUSD,并继承操作杠杆翻倍借钱sUSD。最后送还闪电贷。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

零时科技|CreamFinance协议遭黑客闪电打击事件阐发

4.?进攻者继承借出1000万USDC,通过兑换等操纵获取cySUSD,并继承操作杠杆翻倍借钱sUSD,最后送还闪电贷。

https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e

零时科技|CreamFinance协议遭黑客闪电打击事件阐发

5. 进攻者再次借出1000万USDC,通过兑换等操纵获取cySUSD,最后偿还闪电贷。(至此进攻者已通过以上生意业务获取大量的cySUSD资产,今朝就可从IronBank借到本身想要的资产)

https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57

零时科技|CreamFinance协议遭黑客闪电打击事件阐发

6. 进攻者操作本身获得的大量cySUSD资产,从Cream.Finance中借出多个数字资产(13244 WETH,3605354 USDC,5647242 USDT,4263138 DAI),完成进攻赢利。

https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

零时科技|CreamFinance协议遭黑客闪电打击事件阐发

总结

本次盗币是进攻者操作零抵押跨协议贷款的缺陷举办裂痕进攻,通过不绝的操作杠杆来增加借钱的金额,增加活动性,兑换为cySUDC,并通过多次操纵获取大量cySUDC从而最终借出本身想要的资产。

安详发起

DeFi本年确实备受存眷,黑客进攻也不绝产生,雷同Cream Finance这样的项目,包罗cream finance,,alpha finance均受到差异水平的黑客进攻。针对几回产生的黑客进攻事件,我们给出的安详发起就是:

在项目上线之前,找专业的第三方安详企业举办全面的安详审计,并且可以找多家举办交错审计;

可以宣布裂痕赏金打算,发送社区白帽子辅佐找问题,先于黑客找到裂痕;

增强对项目标安详监测和预警,只管做到在黑客动员进攻之前宣布预警从而掩护项目安详。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章阅读