9月1日消息,抵押借貸平台Cream Finance發布閃電貸攻擊事後分析報告。北京時間8月31日12點左右,CREAM Finance因AMP漏洞導致462079976 AMP和2804.96 ETH被盜。有一個主要的漏洞攻擊者和一個較小的模仿者(copy-cat)。模仿者攻擊地址有從幣安提現的歷史記錄。官方正在與幣安合作以確定第二個攻擊者。官方會將所有相關信息轉交執法機關,並在法律允許的範圍內進行起訴。攻擊發生後,官方已暫停AMP供應和借用功能。當補丁可以安全部署時,將重新啟用AMP市場。團隊正在與審計員和技術顧問合作,以確保能夠安全地防範未來的類似攻擊。官方將替換被盜的ETH和被盜的AMP,這樣用戶就不會出現流動性問題。官方將承諾分配所有協議費用的20%用於償還,直到該債務全部付清。同時將與Flexa/AMP團隊發布CREAM抵押品來擔保這筆債務。受影響的用戶可以填寫谷歌表單提交詳細信息。 Cream Finance還表示,如果主要攻擊者願意返還被盜資金,官方將兌現正常的10%漏洞賞金,並允許攻擊者保留10%的資金作為漏洞賞金。但是,如果任何人能夠識別並提供導致逮捕和起訴攻擊者的信息,官方將分享所有返還資金的50%。官方正與有關當局合作,尋求可以利用的所有渠道。據此前報導,PeckShield表示,Cream Finance遭閃電貸攻擊是因為AMP代幣合約引入一個可重入漏洞。 AMP是一種類似ERC777的代幣,在更新第一次借款之前,它被用來在轉移資產的過程中重新借入資產。
dark