比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 中幣 > Info

CRE:Cream Finance 攻擊事件分析_USD

Author:

Time:1900/1/1 0:00:00

前言

北京時間10月27日晚,以太坊DeFi協議CreamFinance再次遭到攻擊,損失高達1.3億美元。知道創宇區塊鏈安全實驗室?第一時間跟蹤本次事件并分析。

分析

基礎信息

攻擊者:0x24354D31bC9D90F62FE5f2454709C32049cf866b

攻擊tx:0x0fe2542079644e107cbf13690eb9c2c65963ccb79089ff96bfaf8dced2331c92

Celo推出與巴西雷亞爾掛鉤的算法穩定幣cREAL:1月30日消息,開源區塊鏈Celo最近推出與巴西雷亞爾掛鉤的算法穩定幣Celo Real(cREAL)。 巴西加密貨幣交易所FlowBTC、NovaDAX和Ripio將支持cREAL穩定幣。此外,錢包Bitfy和Coins也將支持cREAL。

根據Celo的說法,cREAL穩定幣可用于其區塊鏈上的中心化金融和去中心化金融(DeFi)應用程序,例如抵押貸款平臺Moola Market。巴西人還可以將cREAL添加到其Bitfy錢包中,以支付巴西支付處理器Cielo網絡的商家賬單。 (The Block)[2022/1/31 9:23:52]

攻擊合約1:0x961D2B694D9097f35cfFfa363eF98823928a330d

基于zk-Rollup的Layer 2隱私協議Zecrey獲得Polygon基金會的資助:10月24日消息,基于zk-Rollup的Layer 2隱私協議Zecrey宣布獲得Polygon基金會的資助。[2021/10/24 6:10:24]

攻擊合約2:0xf701426b8126BC60530574CEcDCb365D47973284

流程

1、攻擊者調用攻擊合約1?0x961D?的?0x67c354b5?函數啟動整個攻擊流程,首先通過MakerDAO閃電貸借來500MDAI,然后質押兌換成yDAI,將yDAI在CurveySwap中添加流動性獲得ySwapToken憑證,再用于質押兌換成yUSD,最后在Cream中存入yUSD獲得憑證crYUSD;

動態 | Morgan Creek創始人發推總結本周加密領域大事件:Morgan Creek創始人Anthony Pompliano發推總結本周加密領域發生的大事件,具體為: 1. Square在第二季度銷售了1.25億美元的BTC; 2. 沃爾瑪為穩定幣申請專利; 3. 灰度使用Coinbase Custody; 4. 韓國啟動自由監管區; 5. Kraken收購Interchange 6. Lolli與Safeway、Udemy達成合作; 7. 比特幣仍未死亡。[2019/8/3]

2、隨后攻擊合約1?0x961D?調用攻擊合約2?0xf701?的?flashLoanAAVE()?函數,先通過AAVE閃電貸借來524102WETH,其中6000WETH轉給攻擊合約1?0x961D,剩下WETH存入Cream獲得crETH。隨后三次從Cream借出446758198yUSD,前兩次借出后再次存入Cream獲得crYUSD并轉給攻擊合約1?0x961D,第三次直接將借出的yUSD轉給攻擊合約1?0x961D,用于后面贖回;

3、flashLoanAAVE()?函數緊接著調用攻擊合約1?0x961D?的?0x0ed1ecb1?函數,通過UniswapV3和Curve完成WETH=>USDC=>DUSD的兌換,通過YVaultPeak合約用383317DUSD贖回了3022172yUSD,加上第二步攻擊合約2?0xf701?轉來的446758198yUSD,在ySwap中贖回約450228633ySwapToken憑證。并將其全部轉給yUSD合約,導致Cream協議對抵押資產yUSD的價值計算劇增,最后借出大量ETH、CRETH2、xSUSHI等共15種資產,其中ETH轉給攻擊合約2?0xf701?用于歸還閃電貸;

4、最后贖回各資產成DAI,歸還閃電貸。

細節

此次攻擊的核心代碼原因在于PriceOracleProxy喂價合約對抵押資產的價值計算出現問題,價格因子pricePerShare通過簡單的資產數額占比來動態定價,而這種方式容易受到閃電貸的大額資產操控。

此次攻擊的成因是多維度的,同樣也反映出其他很多問題,比如Cream協議允許yUSD的重復循環地存入和借出、ySwap的憑證可直接轉給yUSD等等。

總結

CreamFinance遭遇的閃電貸攻擊的核心原因在于對抵押物價值的計算易被操控,使得攻擊者通過閃電貸的巨額資金抬高了抵押物的價格,而超額借出了Cream金庫的資產。

近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:CREREAUSDCREAcre8幣歷史價格treasurechaintst比特幣價格今日行情usdtCREAM

中幣
NAKA:幣安逐倉槓桿新增 CHESS 資產,穩定幣借貸年利率低至6.20%!_samoy幣騙局

親愛的用戶:幣安逐倉杠桿已新增CHESS資產,開放CHESS/USDT、CHESS/BUSD、CHESS/BTC逐倉交易對.

1900/1/1 0:00:00
GAT:Gate.io 支持一鍵參與KSM插槽拍賣活動火熱進行中(目前Picasso領先)_Nifty Gateway

第12次波卡插槽拍賣正在火熱進行中。目前Picasso以94,818.4375KSM的質押量排名靠前,截至2021年10月29日14:30,Gate.ioPICA鎖倉理財已鎖33.670342K.

1900/1/1 0:00:00
KEX:BKEX Global 關于上線 DOGEZILLA(Dogezilla)并開放充值功能的公告_okex

尊敬的用戶:?????????????BKEXGlobal現決定上線DOGEZILLA,詳情如下:上線交易對:DOGEZILLA/USDT幣種類型:BEP20充值功能開放時間:已開放交易功能開放.

1900/1/1 0:00:00
LIQ:LIQ上線AAX,充幣&理財瓜分10000 LIQ_YINCOME價格

LIQ上線AAX,充幣&理財瓜分10000LIQ作者AAXManager本周已更新尊敬的AAX用戶:AAX將上線LIQProtocol(LIQ).

1900/1/1 0:00:00
AME:GameFi生態系統Project SEED完成310萬美元私募融資,Solana Capital等參投_gamefi幣種

據Cointelegraph11月2日消息,游戲元宇宙生態系統ProjectSEED宣布完成310萬美元私募融資.

1900/1/1 0:00:00
EFI:Shambala 向 GameFi 主流游戲邁開“進擊”步伐_NFT

2021年,游戲大舉進入NFT領域,我們可以看到有越來越多的游戲開發團隊在積極探索基于區塊鏈技術.

1900/1/1 0:00:00
ads