事件背景
CreamFinance是建立在智能合約基礎上的開放普惠的金融體系。通過以方便快捷的方式在線提供消費貸款,是一個利用流動性挖礦的去中心化借貸和交易平臺。
北京時間2020年2月13日,CreamFinance官方推特稱出現黑客盜幣事件,并表示隨后會披露漏洞細節。
隨后零時科技安全團隊立刻對該安全事件進行復盤分析。
事件分析
通過分析此事件,該次攻擊由0x905315602ed9a854e325f692ff82f58799beab57合約地址完成,目前該地址已被標記為盜幣者地址,并存在多次攻擊交易,如圖:
Meta 推出Creators of Tomorrow展區:金色財經消息,Meta(原 Facebook)推出Creators of Tomorrow展區,展示來自歐洲、中東和非洲的各種各樣的個人人才,明年 Meta 將與這些創作者密切合作,幫助他們擴大受眾群體,并在未來幾個月內關注來自世界各地的更多杰出創作者。
此外 Meta 在南非將舉辦專門的“創作者日”活動,其中包括涵蓋貨幣化和品牌內容提示等研討會,同時計劃將所有的明日創作者聚集在一起,參加今年 11 月在倫敦舉辦的元宇宙創作者周。[2022/9/6 13:11:40]
Cred前CFO被證實為英國逃犯 公司仍在進行破產流程:據華爾街日報3月10日消息,根據法院任命的審查員的調查,正在進行破產流程的加密貸款機構Cred并沒有對其投資進行盡職調查,甚至其前首席財務官James Alexander是一名英國逃犯。調查還指出,該公司的倒閉主要原因是公司責任的缺失。此前消息,Cred在2020年10月份凍結了提款和存款,并于11月份宣布破產。此后,美法官先后否決了在破產案中凍結Cred的加密資產、以及任命受托人監督加密貸款機構Cred重組的動議。[2021/3/10 18:30:51]
主要攻擊的6筆交易如下:
1.攻擊者通過杠桿不斷借款,最終獲得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
M Credit CEO 歐嘉成:機構投資者關注長期收益 這是優勢所在:金色財經現場報道,12月19日下午,“尋找牛市盛宴同行者—印比特中國行杭州站”活動在杭州東方君悅酒店舉行,本次活動由印比特和金色財經聯合主辦,翼比特、幣信、螞蟻礦池、菠蘿礦機、人人礦場、胡安科技、M Credit和巴比特等協辦。
在題為“與世界級機構共舞,共享牛市盛宴”的圓桌論壇上,M Credit CEO 歐嘉成表示,機構無非是一種處理錢和資產的形式,機構和個人都有理財的需求。機構投資者關注長期收益,不會因為短期波動而擔心能不能回本。對礦工來說,前期投入的成本較高,并承擔幣價、礦機價格、用電穩定等多重風險,且礦業的頭部效應愈發明顯,個人與機構的錢的屬性不一樣。同時挖礦回本周期的影響力是相對的,不應過于關注長短,機構在時間性的抗風險能力更強。
他指出,礦業會向集中化、規模化、機構化發展,強調規模效應和精細化運營;而礦工的風險意識逐漸加強,對專業金融工具和產品的需求更加明顯。[2020/12/19 15:47:09]
Morgan Creek創始人新風投基金因不接受加密貨幣而受到批評:金色財經報道,Morgan Creek創始人Anthony Pompliano已宣布推出的早期風險基金因不接受加密貨幣而受到批評。有人指出該基金是“非常傳統”且“難以接近”的。據悉,新基金將投資于科技公司的種子前和種子輪。截至目前,其新基金尚不能接受比特幣或山寨幣,但Pompliano希望將來能夠解決。[2020/9/12]
2.攻擊者繼續進行借款并獲得cySUSD。
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
3.攻擊者借出180萬USDC,之后通過Curve.fi將USDC兌換為sUSD,最終獲得cySUSD,并繼續利用杠桿翻倍借款sUSD。最后償還閃電貸。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻擊者繼續借出1000萬USDC,通過兌換等操作獲取cySUSD,并繼續利用杠桿翻倍借款sUSD,最后償還閃電貸。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻擊者再次借出1000萬USDC,通過兌換等操作獲取cySUSD,最后歸還閃電貸。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻擊者利用自己得到的大量cySUSD資產,從Cream.Finance中借出多個數字資產,完成攻擊獲利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
總結
本次盜幣是攻擊者利用零抵押跨協議貸款的缺陷進行漏洞攻擊,通過不斷的利用杠桿來增加借款的金額,增加流動性,兌換為cySUDC,并通過多次操作獲取大量cySUDC從而最終借出自己想要的資產。
安全建議
DeFi今年確實備受關注,黑客攻擊也不斷發生,類似CreamFinance這樣的項目,包括creamfinance,alphafinance均受到不同程度的黑客攻擊。針對頻頻發生的黑客攻擊事件,我們給出的安全建議就是:
在項目上線之前,找專業的第三方安全企業進行全面的安全審計,而且可以找多家進行交叉審計;
可以發布漏洞賞金計劃,發送社區白帽子幫助找問題,先于黑客找到漏洞;
加強對項目的安全監測和預警,盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。
本文來自ambcrypto,原文作者NarrataShukla 由于比特幣的價格處于低位,而比特幣在幣圈的主導地位也一直下滑至歷史水平.
1900/1/1 0:00:00本文要點在比特幣漲勢導致交易量創下新高后,Kraken正考慮在2022年通過直接上市。這家初創公司是按交易量計算的第四大加密貨幣交易所,擁有超過600萬客戶.
1900/1/1 0:00:00黃金是宇宙的浪漫。 看到上面這個說法,開始是有些驚訝的,畢竟金飾大多款式老舊,盡管近年來多有改良,但大部分年輕人還是覺得這是阿姨爺叔的標配,固有印象里黃金當然跟羅曼蒂克搭不上邊.
1900/1/1 0:00:00來源:新浪財經 美國資產管理公司CoinShares首席戰略官、長期看漲加密貨幣的MeltemDemirors周一表示,狗狗幣今年的迅速崛起“絕對是狂熱”.
1900/1/1 0:00:00灰度在華爾街日報刊登比特幣廣告:今日的華爾街日報兩個版面上刊登了灰度的比特幣商業廣告,其上寫著“比特幣來了.
1900/1/1 0:00:00來源:金十數據 金十數據4月18日訊,有市場消息稱美國財政部將指控數家金融機構使用加密貨幣洗錢。 這一消息來自一個廣受歡迎的推特賬戶FXHedge,其向一共122700名關注者發出了警報.
1900/1/1 0:00:00