事件背景
CreamFinance是建立在智能合約基礎上的開放普惠的金融體系。通過以方便快捷的方式在線提供消費貸款,是一個利用流動性挖礦的去中心化借貸和交易平臺。
北京時間2020年2月13日,CreamFinance官方推特稱出現黑客盜幣事件,并表示隨后會披露漏洞細節。
隨后零時科技安全團隊立刻對該安全事件進行復盤分析。
事件分析
通過分析此事件,該次攻擊由0x905315602ed9a854e325f692ff82f58799beab57合約地址完成,目前該地址已被標記為盜幣者地址,并存在多次攻擊交易,如圖:
借貸協議WildCredit宣布停止運營,用戶需提取資金:6月5日消息,借貸協議WildCredit發布公告稱,將不再繼續運營,鼓勵用戶從平臺提取資金。項目委員會的一些成員和一個開發團隊將在這項技術的基礎上啟動一個新項目,屆時持有WILD代幣的用戶將獲得新項目的空投。[2022/6/5 4:03:25]
主要攻擊的6筆交易如下:
1.攻擊者通過杠桿不斷借款,最終獲得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
2021百度Create大會在元宇宙產品“希壤”召開:12月27日消息,2021百度Create大會(AI開發者大會)主論壇今日正式開啟,這是國內首次在元宇宙中舉辦大型科技峰會。據悉,百度將發布元宇宙產品“希壤”,并嘗試在“希壤”舉辦該會議。此外,百度創始人、董事長兼CEO李彥宏將在大會上為10位中國AI學者頒發百度獎學金。
根據已經發布的議程,本屆Create大會論壇期間,中國航天中國月球探測工程首任首席科學家歐陽自遠院士、諾貝爾物理學獎得主兼《星際穿越》科學顧問基普·索恩、《連線》雜志創始主編凱文·凱利、特斯拉公司創始人埃隆·馬斯克母親梅耶·馬斯克等嘉賓,以及李彥宏、百度首席技術官王海峰,將就人工智能前沿技術、產業應用、科技人才培養等議題發表演講。此外,還能夠體驗少林寺、三星堆、三體博物館等虛擬場景。(新浪科技)[2021/12/27 8:07:44]
Cream與Immunefi啟動150萬美元的漏洞賞金計劃,以加強Cream安全性:4月21日消息,Cream Finance正在與Immunefi,Armor.fi和DeFiSafety合作,為CREAM Finance協議和更廣泛的DeFi生態系統帶來更強的安全性。
此外,Cream與Immunefi啟動了一個150萬美元的漏洞賞金計劃,重點是加強Cream的協議,API和網站安全性。[2021/4/21 20:43:32]
2.攻擊者繼續進行借款并獲得cySUSD。
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
動態 | Morgan Creek Digital聯合創始人將與Peter Schiff共同錄制播客節目:Morgan Creek Digital聯合創始人、比特幣死忠Anthony Pompliano發推稱,將在周五與Euro Pacific Capital首席執行官、黃金忠實支持者Peter Schiff共同錄制一個播客節目,并向網友詢問有沒有什么問題。[2019/10/24]
3.攻擊者借出180萬USDC,之后通過Curve.fi將USDC兌換為sUSD,最終獲得cySUSD,并繼續利用杠桿翻倍借款sUSD。最后償還閃電貸。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻擊者繼續借出1000萬USDC,通過兌換等操作獲取cySUSD,并繼續利用杠桿翻倍借款sUSD,最后償還閃電貸。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻擊者再次借出1000萬USDC,通過兌換等操作獲取cySUSD,最后歸還閃電貸。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻擊者利用自己得到的大量cySUSD資產,從Cream.Finance中借出多個數字資產,完成攻擊獲利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
總結
本次盜幣是攻擊者利用零抵押跨協議貸款的缺陷進行漏洞攻擊,通過不斷的利用杠桿來增加借款的金額,增加流動性,兌換為cySUDC,并通過多次操作獲取大量cySUDC從而最終借出自己想要的資產。
安全建議
DeFi今年確實備受關注,黑客攻擊也不斷發生,類似CreamFinance這樣的項目,包括creamfinance,alphafinance均受到不同程度的黑客攻擊。針對頻頻發生的黑客攻擊事件,我們給出的安全建議就是:
在項目上線之前,找專業的第三方安全企業進行全面的安全審計,而且可以找多家進行交叉審計;
可以發布漏洞賞金計劃,發送社區白帽子幫助找問題,先于黑客找到漏洞;
加強對項目的安全監測和預警,盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。
FX168財經報社(北美)訊加密貨幣交易所和金融平臺Crypto.com周一晚間表示,從世界標準時間2021年1月19日上午10點起,將在美國摘牌并暫停交易瑞波幣(XRP).
1900/1/1 0:00:00來源:中新經緯APP 中新經緯客戶端2月20日電題:《夏春等:通脹壓力下,為何黃金下跌而比特幣飛漲?》 作者夏春成亞曼 春節后開工第一天.
1900/1/1 0:00:00自去年以來,數字人民幣越來越頻繁地出現在公眾視野中,其試點城市也從最開始的北京、蘇州、成都、深圳,逐步拓展至上海、長沙、海南、青島、大連、西安等地.
1900/1/1 0:00:00年已經漸漸的遠去,熱鬧的新年已經過去,接下來就是穩穩的工作。過去的一年,紀念幣是豐收的一年,很多的紀念幣受牛幣的影響都有上升。尤其是牛幣表現最為出色,也是生肖幣有史以來比較出色的一枚.
1900/1/1 0:00:00紐約市,有兩家非常知名的酒吧要賣,老板喊價奇特,是25個比特幣Ownerof2NewYorkCitybarswantstosellthemfor25bitcoin紐約市,有個搞了多年餐飲的老板.
1900/1/1 0:00:00就很后悔。 英國一程序員一不小心把藏有7500枚比特幣私鑰的硬盤當垃圾扔掉了,估值約2.6億美元,相當于17億人民幣。這一下就扔掉了十幾個小目標啊,換誰都會心疼.
1900/1/1 0:00:00