事件背景
CreamFinance是建立在智能合约基础上的开放普惠的金融体系。通过以方便快捷的方式在线提供消费贷款,是一个利用流动性挖矿的去中心化借贷和交易平台。
北京时间2020年2月13日,CreamFinance官方推特称出现黑客盗币事件,并表示随后会披露漏洞细节。
随后零时科技安全团队立刻对该安全事件进行复盘分析。
事件分析
通过分析此事件,该次攻击由0x905315602ed9a854e325f692ff82f58799beab57合约地址完成,目前该地址已被标记为盗币者地址,并存在多次攻击交易,如图:
SUSHI突破14美元关口 日内涨幅为5.74%:火币全球站数据显示,SUSHI短线上涨,突破14美元关口,现报14.0011美元,日内涨幅达到5.74%,行情波动较大,请做好风险控制。[2021/4/22 20:48:18]
主要攻击的6笔交易如下:
1.攻击者通过杠杆不断借款,最终获得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
The Block创始人列出AAVE、UNI、SUSHI等有购买价值的DeFi资产:The Block创始人Mike?Dudas今日发推称;“买DeFi,回头谢谢我。”随后他列出了一系列DeFi代币资产,包括AAVE、UNI、SUSHI、COMP、MKR、 YFI、SNX、SOL以及SRM 。[2021/2/3 18:46:17]
2.攻击者继续进行借款并获得cySUSD。
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
DefiDollar团队提议在Curve上建立aSUSD和sDAI质押池:DefiDollar团队发起sCIP#16提案,提议在Curve上增加Aave sUSD(aSUSD)和Aave Dai(sDAI)质押池,这两种币均为稳定币。建立质押池后用户可以从稳定币价格波动中获得交易费用,拥有Aave代币能够将资本效益最大化。同时锚定资产收益率上升,像Dai、sUSD年利率在几小时内能达到30%以上。在质押资产后能够获得CRV代币,还能够获得投票权益。[2020/11/20 21:29:26]
3.攻击者借出180万USDC,之后通过Curve.fi将USDC兑换为sUSD,最终获得cySUSD,并继续利用杠杆翻倍借款sUSD。最后偿还闪电贷。
Coinbase软件工程师:SushiSwap存在后门,项目方能盗取资金:Coinbase软件工程师Daniel Que发推称,SushiSwap存在后门,项目方能盗取资金,使用者请小心风险。这可以通过将所有权转移到时间锁定(timelock)合约来缓解,以强制执行博客文章中提到的100000个块(约2周)迁移延迟。现在还没有强制执行它的代码。SushiSwap创建者已承认并表示将迁移到时间锁定合约。
据此前报道,推特用户Chef Nomi#SushiSwap宣布推出SushiSwap,该协议利用Uniswap的核心设计,增加了面向社区的功能。要开始提供流动性并获得SUSHI代币,任何持有Uniswap LP代币的人都可以将其质押到相应的池中,并将在区块高度10750000开始赚取代币奖励。每个区块将创建100枚SUSHI,平均分配给每个支持池的质押者。在最初的100000个区块(大约2周),SUSHI的生产数量将是10倍,即每区块生产1000枚,以此激励耕作者和协议采用者。
关于奖励分配,0.25%的奖励直接转入活跃的流动性提供者手中,剩下的0.05%被转换回SUSHI并分发给代币持有者。SUSHI分发的10%将被留出用于开发和未来的迭代,包括安全审计。[2020/8/27]
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻击者继续借出1000万USDC,通过兑换等操作获取cySUSD,并继续利用杠杆翻倍借款sUSD,最后偿还闪电贷。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻击者再次借出1000万USDC,通过兑换等操作获取cySUSD,最后归还闪电贷。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻击者利用自己得到的大量cySUSD资产,从Cream.Finance中借出多个数字资产,完成攻击获利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
总结
本次盗币是攻击者利用零抵押跨协议贷款的缺陷进行漏洞攻击,通过不断的利用杠杆来增加借款的金额,增加流动性,兑换为cySUDC,并通过多次操作获取大量cySUDC从而最终借出自己想要的资产。
安全建议
DeFi今年确实备受关注,黑客攻击也不断发生,类似CreamFinance这样的项目,包括creamfinance,alphafinance均受到不同程度的黑客攻击。针对频频发生的黑客攻击事件,我们给出的安全建议就是:
在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计;
可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞;
加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
比特币的大起大落实在是太刺激了。继昨日恐慌性大跌之后,23日下午,比特币价格向下击穿45000美元,日内连破50000美元、49000美元、48000美元、47000美元、46000美元,450.
年已经渐渐的远去,热闹的新年已经过去,接下来就是稳稳的工作。过去的一年,纪念币是丰收的一年,很多的纪念币受牛币的影响都有上升。尤其是牛币表现最为出色,也是生肖币有史以来比较出色的一枚.
众所周知,“中国”国家名词的翻译为“China”,而china实际意义上是指瓷器,之所以会有这样的表述,是由于中国古时非常注重礼仪邦交,在与世界各国的交往中,瓷器作为代表产品之一.
中国矿业大学简介: 中国矿业大学-徐州,是教育部、江苏省和应急管理部三方共建的“211工程”“985工程优势学科创新平台”高校,是我国传统能源研究强校.
比特币yitaif在突破50,000美元之后,比特币价格获得了看涨势头,并突破了关键的52,000美元阻力区。这为稳步增长打开了大门,价格甚至超过了53,500美元和54,000美元.
近日,路客汽车从相关渠道获取到了全新日产逍客的海外售价,新车在海外市场的起售价为32850欧元,约合人民币26万元,预计将于今年第二季度开始进行交付.