USD:Cream Finance協議遭黑客閃電攻擊事件分析_USDC價格

事件背景

CreamFinance是建立在智能合約基礎上的開放普惠的金融體系。通過以方便快捷的方式在線提供消費貸款，是一個利用流動性挖礦的去中心化借貸和交易平臺。

北京時間2020年2月13日，CreamFinance官方推特稱出現黑客盜幣事件，并表示隨后會披露漏洞細節。

隨后零時科技安全團隊立刻對該安全事件進行復盤分析。

事件分析

通過分析此事件，該次攻擊由0x905315602ed9a854e325f692ff82f58799beab57合約地址完成，目前該地址已被標記為盜幣者地址，并存在多次攻擊交易，如圖：

Cream閃電貸攻擊報告：關鍵漏洞在于可包裝代幣的價格計算，損失1.3億美元:11月1日消息，抵押借貸平臺 Cream Finance 針對 10 月 27 日閃電貸攻擊發布詳細報告，表示正在與當局合作追蹤攻擊者，此次攻擊損失約 1.3 億美元，將在未來幾天公布詳細的還款計劃。Cream 表示，此次攻擊混合了經濟攻擊和預言機攻擊，攻擊者從 MakerDAO 閃電貸出 DAI 來創建大量 yUSD 代幣，同時通過操縱多資產流動性池，利用價格預言機計算 yUSD 價格，yUSD 價格升高后，攻擊者的 yUSD 頭寸增加，創造了足夠的借入限額來抵消 Cream 以太坊 v1 市場的流動性。Cream 稱已暫停 Cream Finance 中以太坊 v1 市場的所有交互，關鍵漏洞在于可包裝代幣的價格計算，已經停止了所有可包裝代幣的供應 / 借貸，包括所有 PancakeSwap LP 代幣。[2021/11/1 6:24:39]

NBA球星奧尼爾將推特頭像更換為Creature World NFT作品:9月28日，NBA傳奇球星沙奎爾·奧尼爾（Shaquille O'Neal）推特頭像更換為Creature World NFT作品。[2021/9/28 17:11:23]

主要攻擊的6筆交易如下：

1.攻擊者通過杠桿不斷借款，最終獲得cySUSD。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

Cred債權人委員會要求法院下發文件逮捕Cred前CFO:3月17日消息，加密貸款平臺Cred的債權人委員會正在請求法院，下發Cred前首席財務官James Alexander的逮捕令。債權人委員會認為James Alexander應該坐牢，除非其退還從Cred獲得的比特幣和其他資產。此前法院任命的審查員調查發現，James Alexander實際上為一名英國逃犯。此前消息，Cred在2020年10月份凍結了提款和存款，并于11月份宣布破產。此后，美法官先后否決了在破產案中凍結Cred的加密資產、以及任命受托人監督加密貸款機構Cred重組的動議。（華爾街日報）[2021/3/17 18:51:09]

2.攻擊者繼續進行借款并獲得cySUSD。

聲音 | Morgan Creek創始人：越來越多的人開始選擇用基于軟件的貨幣來存儲財富:Morgan Creek創始人Anthony Pompliano發推稱：“最有趣的情況是，越來越多的人開始選擇用基于軟件的貨幣來存儲財富。毫不夸張地說，他們決定信任算法的治理，而不是人類的治理。”Anthony在該推文下附上了其最新文章“比特幣在當前全球不穩定中的潛在作用”[2019/8/5]

https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4

3.攻擊者借出180萬USDC，之后通過Curve.fi將USDC兌換為sUSD，最終獲得cySUSD，并繼續利用杠桿翻倍借款sUSD。最后償還閃電貸。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

4.攻擊者繼續借出1000萬USDC，通過兌換等操作獲取cySUSD，并繼續利用杠桿翻倍借款sUSD，最后償還閃電貸。

https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e

5.攻擊者再次借出1000萬USDC，通過兌換等操作獲取cySUSD，最后歸還閃電貸。

https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57

6.攻擊者利用自己得到的大量cySUSD資產，從Cream.Finance中借出多個數字資產,完成攻擊獲利。

https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

總結

本次盜幣是攻擊者利用零抵押跨協議貸款的缺陷進行漏洞攻擊，通過不斷的利用杠桿來增加借款的金額，增加流動性，兌換為cySUDC，并通過多次操作獲取大量cySUDC從而最終借出自己想要的資產。

安全建議

DeFi今年確實備受關注，黑客攻擊也不斷發生，類似CreamFinance這樣的項目，包括creamfinance，alphafinance均受到不同程度的黑客攻擊。針對頻頻發生的黑客攻擊事件，我們給出的安全建議就是：

在項目上線之前，找專業的第三方安全企業進行全面的安全審計，而且可以找多家進行交叉審計；

可以發布漏洞賞金計劃，發送社區白帽子幫助找問題，先于黑客找到漏洞；

加強對項目的安全監測和預警，盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。

Tags：USDSUSDUSDCUSD幣USD價格SUSD幣是什么幣USDC幣USDC價格

波場