推特用戶josebaredes今日下午發文稱,CreamFinance遭遇黑客攻擊,看起來他們已經賺到了13,000ETH。而此時,Yearn創始人AndreCronje與Cream創始人JeffreyHuang正在ClubHouse談笑風生。
CreamFinance官方注意到該事后,緊急發布推文稱,我們意識到潛在的漏洞,并正在對此進行調查。這場黑客攻擊到底是如何進行的?這場DeFi攻擊事件又給我們帶來哪些反思呢?
CreamFinance到底是如何被攻擊?
TheBlock研究分析師@FrankResearcher在推特分析了CreamFinance推出的零抵押跨協議貸款IronBank被盜約3750美元資產的過程。
CremaFinance公布漏洞事件補償方案,幾周后將重新上線完整協議:金色財經報道,Solana生態流動性服務協議Crema Finance發布漏洞事件補償公告稱,Crema剛剛經歷了艱難的一周。幸運的是,我們幾乎可以解決問題。我們已經追回了絕大部分被盜資金,并且正在逐步恢復原有的資產組合。
Crema將在下周晚些時候開啟資產提取合約,該合約將由SlowMist進行審計;Crema也將從團隊Token分配中拿出1.5%(1500萬枚CRM),以補償在該事件中損失資金的所有用戶;對于受到攻擊的流動性池,流動性提供者在撤回資產時將獲得veNFT;為確保CRM的充足流動性,Crema每月將使用協議交易費用的 7.5%回購CRM并銷毀,回購計劃將從全面重啟Crema開始。
Crema同時表示,幾周后,Crema的完整協議將再次上線。資產安全將是Crema未來發展的重中之重。[2022/7/9 2:02:03]
黑客具體攻擊操作如下:
Morgan Creek Capital創始人建議投資者逢低買入加密貨幣:11月27日消息,Morgan Creek Capital Management創始人、CEO兼CIO Mark Yusko仍然對比特幣和其他數字資產感興趣。他在采訪中透露他對加密貨幣領域的看漲立場。他認為加密貨幣市場最近的糟糕表現是“黑色星期五”折扣。他解釋了為什么盡管最近暴跌,但他仍然看好BTC,提到了不斷加強的基本面。
根據Yusko的說法,BTC用戶、錢包和交易的數量顯著增加,使網絡更加完善。他補充說,作為一名投資者,這讓他感到困惑,為什么人們會在商品上市銷售時離開商店。他認為,與黃金相比,BTC是更好的價值存儲方式,因為它更便于攜帶和分割。Yusko建議投資者逢低買入,而不是退出加密頭寸。(Invezz)[2021/11/27 12:35:57]
1.攻擊者使用AlphaHomora從IronBank借入sUSD,每次借入資金都是上次借款的兩倍。
DODO上wCRES/USDT資金池疑似被黑客攻擊,轉移走超200萬美元資產:3月9日消息,拉美地區DeFi社區DeFi LATAM創始人Luciano發推稱,去中心化交易所DODO上的wCRES/USDT資金池似乎被黑客攻擊,轉移走價值近98萬美元的Wrapped CRES(wCRES)和近114萬美元的USDT。DODO官方在電報群回復稱,目前團隊正在進行調查,即將發布更新進展。[2021/3/9 18:27:08]
2.攻擊者通過兩筆交易來完成任務,每次將資金借給IronBank獲得cySUSD。
3.在某些時候,攻擊者從Aavev2獲得了180萬美元的USDC閃電貸款,并使用Curve將USDC換成了sUSD。
Morgan Creek CEO:所有關于比特幣的負面新聞都是來自傳統金融領域的伎倆:Morgan Creek首席執行官Mark Yusko在推特上抨擊了最近圍繞比特幣的負面新聞。他解釋說,所有的負面頭條都是來自傳統金融領域的伎倆,許多人希望減緩比特幣的普及。
此前消息,Coinbase首席執行官Brian Armstrong發推就其聽到的美國財政部長Steven Mnuchin正計劃任期屆滿之前就非托管加密錢包制定新法規的傳聞表示擔憂,并指出,已于近期與多家加密貨幣公司和投資者一起致信財政部闡明了這一點。(Inside Bitcoins)[2020/11/29 22:29:31]
4.攻擊者把sUSD借給IronBank,使得他們可以繼續獲得cySUSD。
5.一些sUSD用于償還閃電貸款。
6.此外,1000萬美元的閃電貸款也被用來增加cySUSD的數量。
7.最終攻擊者獲得了數額巨大的cySUSD,這讓他們可以從IronBank借到任何資產。
8.隨后攻擊者借到了13.2萬枚WETH、360萬枚USDC、560萬枚USDT、420萬枚DAI。
9.穩定幣已轉入Aavev2,隨后向IronBank部署者轉入1000ETH、向Homora部署者轉入1000ETH,向Tornado轉入220ETH、向Tornadogrant轉入100ETH,還有大約1.1萬枚ETH在攻擊者錢包地址中。
Cream目前調查進展
Cream.Finance發現漏洞后,先是發推文“已暫停IronBank的資產借款”,“CREAMv1資金是安全的”,官方不久后將這兩條推文全部刪除。
接著Cream.Finance再發推文稱:對Cream合約和市場已完成調查,目前運行正常。V1和V2均已重新啟用。檢查報告隨后發布。
在Cream.Finance被黑客攻擊后,AlphaHomoraV2也遭受攻擊。AlphaFinanceLab官方緊急處理,隨后發推文稱:已收到關于AlphaHomoraV2漏洞的通知。官方正與AndreCronje及Cream.Finance一起研究。與此同時,漏洞已被修復,正在調查被盜資金,且已經鎖定主要嫌疑人。官方表示,用戶不能從AlphaHomorav2借入更多資金,即沒有新的杠桿頭寸,只能在現有頭寸上借入。V1是安全的,可以運行了。官方正處于高度戒備狀態,事后將披露更多細節。
糙快猛DeFi開發方式帶來的弊端和反思
今日DeFi項目漏洞頻發,展示出DeFi在迅猛發展背后的問題,或許到了DeFi開發者慢下來思考一下的時候了。在Cream.Finance等DeFi項目被攻擊后,神魚發微博稱,以AC為代表的糙快猛的DeFi開發方式,缺乏回歸測試,弊端開始顯現。值得一提的是,Yearn生態多個項目發生過黑客攻擊。其中包括Pickle、SushiSwap、Yearn和今日的Cream。
2月12日,據特拉華州官網顯示,灰度投資除YFI外,還新注冊SNX、SUSHI、STX和COMP、MKR五種信托基金產品,注冊時間均為2月10日。
雖然灰度CEO曾表示,注冊信托實體并不代表會推出相應產品,請用戶謹慎投資。但市場受消息影響異常興奮,從而促使這些DeFi項目最近兩日迅猛上漲,YFI價格更是一度超過BTC。然而,今日的黑客攻擊事件,直接影響了市場信心,DeFi龍頭領跌,市場似乎一下子冷靜了許多。
DeFi的開發類似于樂高積木,其可組合性和可擴展性為區塊鏈行業帶來了新的發展空間;但是,DeFi中如果有一塊”積木“出現問題,也非常容易引發系統性崩潰,從而為用戶帶來無法彌補的損失。DeFi行業還很年輕,歷經的時間的考驗還很短,黑客事件接連發生后,開發者或許也該重新審視一下DeFi帶來的危機和機遇,從而打造出真正經得起時間考驗的去中心化金融體系。
本周比特幣走出了前周的低迷態勢。在埃隆馬斯克等一眾硅谷新興勢力的瘋狂安利下,比特幣開啟了反彈向上的趨勢,自32200美元持續回升,最高觸及41000美元,隨后在周末回落至37400美元,并周末休.
1900/1/1 0:00:00鏈聞消息,數字金融集團DFG披露一支獨家的波卡生態系統基金,該基金將耗資2000萬美元,重點用于協助和促進這一領域中多個賽道中的頂級項目.
1900/1/1 0:00:00好消息:Oswap.cc交易平臺重新上線BTC/GBYTE交易對啦,用戶可以重新方便的購買字節雪球了,無需擔心中心化交易所的不方便和風險,也無需做KYC.
1900/1/1 0:00:00狗狗幣Dogecoin在WSB和特斯拉創始人埃隆·馬斯克的帶領下,成為了近期行業內最有關注度,也最出圈的加密貨幣,比特幣都自嘆不如,一天之內暴漲10倍的故事也讓震驚了所有人,在這場牛市中.
1900/1/1 0:00:00最近一躍成為世界首富的特斯拉和SpaceX總裁埃隆-馬斯克,與比特幣和加密貨幣的關系相當復雜又有趣。在過去幾年里,馬斯克和加密貨幣也一直有互動.
1900/1/1 0:00:00各主流幣都達到了歷史新高附近,2021年的第一個月數字貨幣勢如破竹。明天就是除夕了,今年的工作都有了一個完美收官,春節期間播報會暫停,各位粉絲可以在群里交流行情,提前祝大家春節快樂.
1900/1/1 0:00:00