黄立成旗下 Defi 新创Cream.Finance遭闪电贷攻击,骇客得手近 10亿台币
沉寂已久的 DeFi 在 2020 年下半年成为焦点,成为许多用户的新兴借贷渠道,然而 Defi
的火热也引起许多骇客觊觎,导致过去 Defi 合约攻击频传。昨(13)日又再度发生骇客
事件,此次受害者是台湾团队开发的 Cream Finance 和杠杆流动性挖矿平台 Alpha
Homora。
本次 Cream Finance 和 Alpha Homora 遭遇到的依旧是 Defi 市场常见的“*闪电贷(
Flash loan)”攻击。
骇客透过整合 Iron Bank 功能的 Alpha Homora 协议借入 sUSD,再将这些资金借给铁金
库(Iron Bank)以获得 cySUSD;并透过 DeFi 借贷协议 Aave 的闪电贷服务为 Iron
Bank 提供流动性,借此增加其 cySUSD 的持有量。
据以太坊区块链交易纪录,在此次攻击中,Cream 和 Alpha Homora 共损失约 13,244 枚
以太币,价值约 3,750 万美元。
*闪电贷:是指在一个区块交易中有效的贷款,如果借款人在交易结束前没有偿还这笔贷
款,那么闪电贷款就是失败的,不会被执行。这是因为如果没有满足偿还条件,区块链不
会执行这笔交易。而闪电贷的资产来自一个公共的智能合约资金池,目前较为知名且流行
的是由 Aave 和 dYdX 提供的资金池。
(2/14 20:00 更新)黄立成针对此事件,独家回应动区:
“此次骇客事件的起因于 Alpha Homora 的协议漏洞,骇客透过 Alpha 的漏洞获取大量
sUSD 并在 Iron Bank 上做为抵押物正常借出款项,Cream Finance 作为 Alpha 的合作
伙伴,全力帮助减轻他们的负担。用户在 Iron Bank 和 Cream V1 的资产是安全无虞的
,遭骇消息传出后,资金池挤兑是因用户恐慌大量提币,并非是攻击者盗币。”
事发经过
台湾时间 2 月 13 日 15:54,去中心化借贷协议 Cream Finance 于推特发文宣布,发现
智能合约的潜在漏洞,并表示正在进行调查。
惊传遭骇
当日下午 4:57,《The Block》研究员 Igor Igamberdiev 在推特揭露,Cream Finance
已遭骇客攻击,损失约 3,750 万美金,并透过 9 篇 Twitter 贴文还原出整个被骇过程
。
Igor Igamberdiev 在推特上整理的详细攻击过程(事件发生时间:2:16-30 pm):
攻击者使用 Alpha Homora 从 Iron Bank 借入 sUSD,每次借入资金都是上次借款的两倍
。
攻击者通过两笔交易来完成任务,每次将资金借给 Iron Bank 获得 cySUSD。
在某些时候,攻击者从 Aave v2 获得了 180 万美元的 USDC 闪电贷款,并使用 Curve
将 USDC 换成了 sUSD。
攻击者把 sUSD 借给 Iron Bank,使得他们可以继续获得 cySUSD。
一些 sUSD 用于偿还闪电贷款。
接着,1,000 万美元的闪电贷款被提取,并再将之用于增加 cySUSD 的数量。
最后,攻击者获得了数额巨大的 cySUSD ,这让他们可以从 Iron Bank 借到任何资产。
随后,攻击者用得手的 cySUSD,成功借出 2 万枚 WETH、360 万枚 USDC 、560 万枚
USDT、420 万枚 DAI。
赃款转移、洗钱、捐款回馈
攻击者钱包地址数据显示,骇客于台湾时间下午 2:21 分,便开始透过以太币隐私交易平
台 Tornado.Cash 进行洗钱,他将其中的 220 ETH 转入 Tornado 进行混币交易,将赃款
洗出。
赃款转移和洗钱资金流向
随后,骇客回馈给受害事主,各别打了 1000 ETH 至 Cream.Finance 的开发者钱包,和
Alpha Homora Lab 的开发者钱包。
最后还不忘感谢本次使用的以太方洗钱工具 Tornado.Cash, 转了 100 ETH 至 Tornado
的 Gitcoin 专案捐款地址。
官方反应
在遇骇消息传开半小时后(5:26 pm),Cream Finance 再度发布公告,并称已经暂停
Iron Bank 的资产借贷服务;然而,根据 Coindesk 消息,该推文于不久后遭到删除。
截至截稿为止,仍有大约 10,924 ETH 还在骇客的以太坊钱包中,现值约为 2,008 万美
金。
大约 1.09 万枚 ETH 仍在攻击者钱包中,至截稿前价值约 2,008 万美金。
骇客事件后续(锁定嫌犯、事后报告)
直至 18:00 左右,Cream 官方发布推特宣告已完成协议检查,并表示功能已恢复正常,
市场已经重新开放。
晚间 6:26,Alpha Homora 官方也在推特表示 Alpha Homora V2 是上述 Cream
Finance 协议发生问题的原因,平台已经正在处理问题,并已锁定攻击嫌疑犯。
直到今(14)日凌晨 3 时,Alpha Homora 终于发布声明,解释整件黑客事件。
市场反应
早在骇客事件发生的不久后,币价进行了反应。据 Trading View 数据,Cream Finance
的治理代币 Cream 在昨日下午 3 点从最高价 283.6 美金下杀到最低价 171.3 美金,下
跌幅度 39.6%。
目前 Cream 价格已有稍微回升,截稿前报 217.5 美元。
– 图源:Trading View –
而 Alpha Homora 的原生代币 Alpha 受影响幅度则相对较小,在昨日下午 5 点从最高价
2.18 美金下杀到最低价 1.71 美金,下跌幅度 20.4%。
目前 Alpha 价格已有稍微回升,截稿前报 1.83 美元。
https://tinyurl.com/y6clyqao
麻吉大哥Defi被骇10亿台币 去中心专家怎么看