攻击者利用了Iron Bank DeFi协议(Cream Finance项目的第二版)中的一个漏洞,并撤回了3750万美元的代币。
https://t.co/C8cMhz4dnG
— Cream Finance????(@CreamdotFinance)2021年2月13日
“我们意识到了潜在的漏洞,并正在对其进行研究。 感谢您对我们调查的支持,” Cream Finance的代表写道。
Block分析师Igor Igamberdiev估计,由于漏洞利用,项目损失达3750万美元。 他还概述了黑客行为的顺序。
IronBank($ CREAM)被3,750万美元利用,让我们快速看一下发生了什么。????1 /攻击者使用Alpha Homora从IronBank借入sUSD。 每次他们借的钱是前一次的两倍。
— Igor Igamberdiev(@FrankResearcher)2021年2月13日
“攻击者使用Alpha Homora服务从IronBank借钱。 每次他借来的钱是前一个案例的两倍。”
2 /他们通过两次交易来完成此任务,每次将资金借给IronBank接收cySUSD。 3 /在某个时候,开发者从Aave v2那里获得了180万美元的USDC紧急贷款,并使用Curve将USDC交换为sUSD。 pic.twitter.com/fSheiqZ6lO
— Igor Igamberdiev(@FrankResearcher)2021年2月13日
他通过两笔交易做到了这一点,每次将资金借给IronBank并收到cySUSD。
在某个时候,攻击者使用Aave平台上的即时贷款获得了180万美元的USDC。 然后他使用Curve将USDC交换为sUSD。”
4 /他们将这些sUSD借给IronBank,这使他们可以继续借入和借入cySUSD。 5 /当然,花了一些新元来偿还速贷。
— Igor Igamberdiev(@FrankResearcher)2021年2月13日
然后,他将sUSD存入IronBank。 这使黑客能够继续借入和借出资金,并在出口处收到cySUSD。
研究人员强调:“当然,其中一些sUSD被用于偿还即时贷款。”
6 /此外,还获得了1000万美元的快速贷款,也用于增加cySUSD的数量。 7 /最后,他们的cySUSD数量达到了令人难以置信的数量,这使他们可以从IronBank借钱。 pic.twitter.com/2UfB1cSu0u
— Igor Igamberdiev(@FrankResearcher)2021年2月13日
“获得了1000万美元的即时贷款,这笔贷款还用于增加sUSD的数量。 最终,,cySUSD的使用量达到了如此之高的水平,以至于他可以从IronBank借钱。
8 /然后他们借入:-13.2万ETH-360万美元-560万美元-420万DAI pic.twitter.com/T7VN2S0D0U
— Igor Igamberdiev(@FrankResearcher)2021年2月13日
然后,攻击者借用了:
13,200 WETH; 360万美元; 560万美元 420万DAI。9 /稳定币已存入Aave v2,向IronBank部署者存入1k ETH,向Homora部署者存入1k ETH,向Tornado存入220 ETH,已向Tornado授与100 ETH,近11k ETH仍留在开发者账户上。 nctC08rg3W pic.twitter.com/MFYWZ46aVi
— Igor Igamberdiev(@FrankResearcher)2021年2月13日
之后,他将稳定币存入了各种服务,包括Aave(v2)和Alpha Homora(1000 ETH)。 攻击者的地址中剩下将近11,000 ETH,他向混合服务Tornado.Cash捐赠了100 ETH,并将1000 ETH发送到了IronBank合同的地址。 在事件发生的背景下,CREAM代币的价格从290美元左右跌至220美元。 提醒一下,2月5日,一个未知的黑客从yEarn.Finance池中撤回了280万美元。 DeFi项目很快就弥补了攻击造成的损失。 订阅ForkLog YouTube频道!
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
