黑客永不鬆手– 在超過2 年的存在中,去中心化金融生態系統(DeFi) 帶來了它的創新份額。然而,協議的安全性似乎與存入其中的資金不相稱。 Cream Finance (CREAM) 的這部新情節劇就是證明。
Cream Finance:繼續墮入地獄
10 月27 日星期三,區塊鏈安全和分析公司Peckshield 發現了一筆可疑的大筆閃貸交易。很快,Twitter 上傳出謠言,稱Cream Finance 協議已成為攻擊的目標。
幾個小時後,協議團隊通過他們的Twitter 帳戶正式發布了這條消息:
“我們的以太坊CREAM v1 借貸市場已於10 月27 日被挖礦,流動性被移除。 攻擊者使用以下地址從這些市場中提取了總計約1.3 億美元的代幣:0x24354d31bc9d90f62fe5f2454709c32049cf866b。 沒有其他市場受到影響。 ”
Cream Finance 出版物– 來源:Twitter
事實上,攻擊者利用他的閃電貸對Cream Finance 協議進行了攻擊,使他獲得了大約1.3 億美元的加密貨幣頭獎。幸運的是,在iEarn Finance 協議開發人員提供的幫助下,協議團隊很快發現並修復了該漏洞。
“與此同時,我們已經暫停了以太坊上的v1 借貸市場,並且正在做事後資產負債表。 ”
此次攻擊損失了1.3 億美元,在最具破壞性的DeFi 攻擊中排名第三,僅次於Compound 和Poly-Network。
>> 要開始使用加密貨幣,你必須相信最好的踏上FTX 參考平台
關於奶油金融攻擊如何展開的理論
在撰寫本文時,Cream Finance 尚未發布該事件的驗屍報告。但是,在分析了攻擊交易後,一些互聯網用戶能夠識別攻擊者使用的方法。
根據@Cryptofishx 在Twitter 上發布的分析,攻擊者利用了一個允許操縱yUSDVault 價格的漏洞。
Cryptofish 出版物– 來源:Twitter
提醒一下,iEarn 協議提出了一種策略,允許在由資產yUSDT + yUSDC + yDAI + yTUSD 組成的Curve 4pool 礦池中存入穩定幣。作為押金的交易所,協議發行yUSD。然後可以將此資產存入iEarn 金庫以換取yUSDVault,該資產可用於Cream 協議。
攻擊階段
具體來說,攻擊者將使用2 個地址來執行他的包:
賬戶A 將通過閃貸從DAI 向MakerDAO 借款5 億美元; 他將他的DAI 存入iEarn 的yDAI 礦池中,然後將所有yDAI 存入4pool 以獲得yUSD,然後他將其存入Yearn 以獲得yUSDVault; 然後yUSDVault 將作為質押品存入Cream Finance 以獲得crYUSD; 在賬戶B 上,攻擊者將第二次借出20 億ETH,存入Cream 協議; 這將使他能夠在yUSDVault 中藉入5 億美元,然後將其存入以獲得crYUSD; 然後,資金將從地址B 轉移到地址A; 該操作會重複多次,使賬戶A 的crYUSD 餘額達到15 億美元,yUSDVault 餘額達到5 億美元。
然後,通過取款和存款的遊戲,攻擊者將設法操縱yUSDVault 的流通供應,這將人為地提高yUSDVault 的價格。
最後,攻擊者會利用人為抬高的價格撤回資金,一旦償還了閃電貸,就會產生1.3 億美元的利潤。
Cream Finance結束的開始?
這個新的黑客很可能會在很長一段時間內撼動Cream Finance 協議。事實上,這是該協議在9 個月內第三次成為攻擊目標。第一次攻擊發生在2021 年2 月,造成3750 萬美元的損失。第二次,在9 月初,總計虧損2500 萬美元。
今年共有超過1.9 億美元從該協議中被盜。一個足以讓投資者對使用Cream Finance 持謹慎態度的金額。
這個消息對協議來說非常糟糕。事實上,在他設法追回被盜的2500 萬美元中的1700 萬之後,他才剛剛從上一次襲擊中恢復過來。
遊戲中的所有投資者都通過市場上最好的外匯平台……所以動搖並複制它們在FTX 基準加密貨幣交易平台上立即購買你的第一個satoshis,並從你的交易費用終身減少中受益(附屬鏈接,請參閱官方網站上的條件)。
文章加密貨幣:這些聰明人一鍵竊取1.3 億美元– 誰從Cream 中受益?首次出現在Journal du Coin 上。
資訊來源:由0x資訊編譯自JOURNALDUCOIN。版權歸作者Renaud H.所有,未經許可,不得轉載