TITA:Cream Finance重入漏洞事件分析-ODAILY_Panda Girl

作者：

时间：

前言

8月30日，知道创宇区块链安全实验室监测到以太坊上的DeFi协议CreamFinance遭遇重入漏洞袭击，损失超1800万美元。实验室第一时间跟踪本次事件并分析。

涉及对象

攻击涉及合约地址：

0x38c40427efbaae566407e4cde2a91947df0bd22b

0x0ec306d7634314d35139d1df4a630d829475a125

Cream Finance攻击者在过去6个月内将2100万枚DAI换成1.15万枚ETH:金色财经报道，据派盾预警监测，Cream Finance闪电贷攻击者将50万枚DAI兑换为约278枚ETH，并转入TradeOgre地址，在过去6个月内已将2100万枚DAI换成1.15万枚ETH，并将其转移到TradeOgre地址。

该地址目前持有价值1200万美元的加密货币，包括3,890枚ETH和500万枚DAI。此前去年10月消息，DeFi协议Cream Finance遭闪电贷攻击，损失超1.3亿美元。[2023/5/18 15:10:32]

受害涉及合约地址：

曼联官方NFT系列被指控抄袭艺术家DesLucrece的作品:金色财经报道，曼联足球俱乐部的官方NFT系列被指控抄袭艺术家DesLucrece的作品，DesLucrece是一位以Des Monsters NFT系列而闻名的匿名艺术家，该系列目前在OpenSea的地板价为17.5ETH（约20,825美元）。一位Twitter用户指责曼联的“The Devils”系列与DesLucrece的作品几乎相似，包括相同的角色设计、配色方案等。曼联于今年早些时候首次与Tezos基金会合作，并于12月21日开始发布“The Devils”。该系列共有7,777个NFT，每个售价约36美元，此后已售罄。DesLucrece在推特上表示，他和相关方正在商讨解决方案，并等待曼联的回复。[2022/12/29 22:13:05]

CErc20Delegator：0x2db6c82ce72c8d7d770ba1b5f5ed0b6e075066d6

挖矿项目CREAM疑似再次出现Bug，用户无法提出WETH:9月18日，挖矿项目CREAM疑似再次出现Bug，社群用户表示，当用户使用fWETH在CREAM兑换WETH时，打入fWETH，但是CREAM并未转出WETH。有用户表示，CREAM因流动性不足导致该事件的发生。据悉，9月16日，CREAM由于在分配合约中多加了一个0，导致crCREAM质押池中的CREAM奖励分配速度变为原来的10倍。（区块律动）[2020/9/18]

CEther：0xd06527d5e56a3495252a528c4987003b712860ee

Morgan Creek创始人：以太坊与法币没有任何区别:Morgan Creek Digital创始人Anthony Pompliano在其Off-chain页面上表示，以太坊与法币没有任何区别。其一，没有固定的供应；其二，通胀供应计划；其三，由一小部分人决定货币政策。对那些相信ETH是货币的人来说，好消息是，到目前为止，每一次供应计划的改变都降低了新发行率，但坏消息是，增加新发行率的选择总是存在的。这类似于我们目前的法定货币政策，决策者可以就进入系统的新货币的生产状况作出增减决定。”（ZyCrypto）[2020/3/3]

Amp：0xff20817765cb7f73d4bde2e66e067e58d11095c2

简述攻击流程

首先黑客通过合约0x38c4进行闪电贷借出启动资金500ETH