USD:Cream Finance協議遭黑客閃電攻擊事件分析_USDCUSD幣

事件背景

CreamFinance是建立在智能合約基礎上的開放普惠的金融體系。通過以方便快捷的方式在線提供消費貸款，是一個利用流動性挖礦的去中心化借貸和交易平臺。

北京時間2020年2月13日，CreamFinance官方推特稱出現黑客盜幣事件，并表示隨后會披露漏洞細節。

隨后零時科技安全團隊立刻對該安全事件進行復盤分析。

事件分析

通過分析此事件，該次攻擊由0x905315602ed9a854e325f692ff82f58799beab57合約地址完成，目前該地址已被標記為盜幣者地址，并存在多次攻擊交易，如圖：

隱私公鏈Secret Network將于第二季度進行兩次主網更新:金色財經報道，隱私公鏈Secret Network宣布將于今年二季度進行兩次大型主網更新，其中在4月進行Shockwave Alpha主網升級，在6月進行Shockwave Omega主網升級，從而實現更好的可擴展性以及跨鏈IBC合約等，推動該公鏈成為Web3的數據隱私中心。[2022/3/23 14:12:31]

主要攻擊的6筆交易如下：

1.攻擊者通過杠桿不斷借款，最終獲得cySUSD。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

比特幣礦企Stronghold收購發電廠Panther Cree，總發電量翻倍:美國比特幣礦企Stronghold Digital周二發布公告稱將收購位于賓夕法尼亞州的第二座發電廠Panther Creek，并已簽署最終協議，該廠裝機容量80兆瓦，籍此，Stronghold的專有發電量翻倍，達到165兆瓦。據Stronghold向美國證券交易委員會（SEC）提交的文件，該公司計劃在納斯達克上市，募集1億美元。目前，Stronghold運營著1840臺礦機，4月以來已陸續向比特大陸、嘉楠科技和比特微訂購了27300臺礦機。其中約93%將于今年交付（首批于8月交付），7%計劃于2022年交付。（The Block）[2021/8/4 1:33:08]

Plasm和Secret Network發布橋接MVP版本:金色財經報道，Plasm Network和Secret Network這兩個分別基于Polkadot和Cosmos的項目已經啟動了連接兩個生態系統的橋接的第一次迭代（最小化可行產品），每個網橋代表一個不同的“第0層”協議。該橋接于周二部署在Plasm的測試網上，允許用戶在Plasm和Secret之間轉移資產，從而使用戶享受交易隱私并使用SecretSwap，即Secret上的第一個自動做市商交易所。[2021/4/14 20:16:16]

2.攻擊者繼續進行借款并獲得cySUSD。

https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4

Cream將DAI抵押因子從0%提升至75%:去中心化借貸交易平臺Cream Finance宣布將DAI抵押因子從0%提升至75%，DAI的抵押因子目前和ETH、YCRV、USDC、BUSD、yyCRV、yETH抵押因子相同，并列成為抵押因子最高的抵押代幣。[2020/12/8 14:34:07]

3.攻擊者借出180萬USDC，之后通過Curve.fi將USDC兌換為sUSD，最終獲得cySUSD，并繼續利用杠桿翻倍借款sUSD。最后償還閃電貸。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

4.攻擊者繼續借出1000萬USDC，通過兌換等操作獲取cySUSD，并繼續利用杠桿翻倍借款sUSD，最后償還閃電貸。

https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e

5.攻擊者再次借出1000萬USDC，通過兌換等操作獲取cySUSD，最后歸還閃電貸。

https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57

6.攻擊者利用自己得到的大量cySUSD資產，從Cream.Finance中借出多個數字資產,完成攻擊獲利。

https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

總結

本次盜幣是攻擊者利用零抵押跨協議貸款的缺陷進行漏洞攻擊，通過不斷的利用杠桿來增加借款的金額，增加流動性，兌換為cySUDC，并通過多次操作獲取大量cySUDC從而最終借出自己想要的資產。

安全建議

DeFi今年確實備受關注，黑客攻擊也不斷發生，類似CreamFinance這樣的項目，包括creamfinance，alphafinance均受到不同程度的黑客攻擊。針對頻頻發生的黑客攻擊事件，我們給出的安全建議就是：

在項目上線之前，找專業的第三方安全企業進行全面的安全審計，而且可以找多家進行交叉審計；

可以發布漏洞賞金計劃，發送社區白帽子幫助找問題，先于黑客找到漏洞；

加強對項目的安全監測和預警，盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。

Tags：USDSUSDUSDCUSD幣USD價格SUSD幣是什么幣USDC幣USDC價格

瑞波幣