事件背景
CreamFinance是建立在智能合约基础上的开放普惠的金融体系。通过以方便快捷的方式在线提供消费贷款,是一个利用流动性挖矿的去中心化借贷和交易平台。
北京时间2020年2月13日,CreamFinance官方推特称出现黑客盗币事件,并表示随后会披露漏洞细节。
随后零时科技安全团队立刻对该安全事件进行复盘分析。
事件分析
通过分析此事件,该次攻击由0x905315602ed9a854e325f692ff82f58799beab57合约地址完成,目前该地址已被标记为盗币者地址,并存在多次攻击交易,如图:
Damus v1.4.0已在苹果App Store上架,支持上传视频和图像:金色财经报道,基于Nostr协议的开放社交应用Damus发推称,v1.4.0已在苹果App Store上架。该版本升级包括支持视频和图像的上传、增加本地zap通知、自动翻译以及新的时间线设计。[2023/3/29 13:32:50]
主要攻击的6笔交易如下:
1.攻击者通过杠杆不断借款,最终获得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
独家 | 聚合DeFi资产管理平台InstaDApp锁仓量进入前五:据DappBirds DeFi Data专题数据显示,聚合DeFi资产管理平台InstaDApp锁仓量进入前五,DeFi中锁定资产总价值达43.54亿美元,较昨日上涨1.35%,其中Maker,Compound,Synthetix,Aave,InstaDApp分别以10.20亿美元,7.90亿美元,4.86亿美元,3.88亿美元,2.83亿美元位列前五名[2020/7/29]
2.攻击者继续进行借款并获得cySUSD。
动态 | EOS Dapp活跃用户60512人:据DappReview数据显示,今日Dapp新增5个。EOS Dapp活跃用户60512人,交易额8294万元(-33%);Tron Dapp活跃用户41981人,交易额5458万元(+0%);ETH Dapp活跃用户14634人,交易额3054万元(-32%)。过去24小时Dapp交易额:EOS最高的为“鲸交所”(交易额9975万元);Tron最高的为“WINk”(交易额4190万元);ETH最高的为“dYdX”(交易额494万元)。[2019/10/28]
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
动态 | 以太坊上活跃DApp数量达1400个 超EOS两倍有余:据DappCatlog统计,截止目前,在以太坊上活跃的DApp数量为1400个,超EOS两倍有余。其24小时交易额为25423.2556个ETH,24小时交易比数为64603,DApp智能合约为4895个,在EOS上活跃的DApp数量为403个,其24小时交易额为2419802.3266个EOS,24小时交易笔数为3644727,DApp智能合约为697个。[2019/3/28]
3.攻击者借出180万USDC,之后通过Curve.fi将USDC兑换为sUSD,最终获得cySUSD,并继续利用杠杆翻倍借款sUSD。最后偿还闪电贷。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻击者继续借出1000万USDC,通过兑换等操作获取cySUSD,并继续利用杠杆翻倍借款sUSD,最后偿还闪电贷。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻击者再次借出1000万USDC,通过兑换等操作获取cySUSD,最后归还闪电贷。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻击者利用自己得到的大量cySUSD资产,从Cream.Finance中借出多个数字资产,完成攻击获利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
总结
本次盗币是攻击者利用零抵押跨协议贷款的缺陷进行漏洞攻击,通过不断的利用杠杆来增加借款的金额,增加流动性,兑换为cySUDC,并通过多次操作获取大量cySUDC从而最终借出自己想要的资产。
安全建议
DeFi今年确实备受关注,黑客攻击也不断发生,类似CreamFinance这样的项目,包括creamfinance,alphafinance均受到不同程度的黑客攻击。针对频频发生的黑客攻击事件,我们给出的安全建议就是:
在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计;
可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞;
加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。