admin 14 2 月, 2021 尚無留言

defi-hack

去中心化借貸協議 Cream Finance 的零抵押貸款功能 – Iron Banks 漏洞糟利用,駭客獲利約 3750 萬美元。

Cream Finance 漏洞糟利用

去中心化借貸協議 Cream Finance 於今日下午四點左右,在官方推特發佈推文表示,官方發現了協議的潛在漏洞,目前正在進行調查。

We are aware of a potential exploit and are looking into this. Thank you for your support as we investigate.

— Cream Finance 🍦 (@CreamdotFinance) February 13, 2021
一個 Etherscan 上的交易紀錄可以看出,此次攻擊者瞄準的是 Cream 的協議間的零抵押貸款功能 – Iron Bank。駭客透過這次攻擊獲得了約 3750 萬美元的加密資產。具體來說,攻擊者使用了整合 Iron Banks 功能的 Alpha Homora 協議借入 sUSD,再將這些資金借給 Iron Bank 以獲得 cySUSD,另一方面,攻擊者還從 Aave 那裡透過閃電貸為 Iron Bank 提供流動性,藉此增加其 cySUSD 的持有量,攻擊者此時 cySUSD 的持有量已達到相當誇張的地步,使其能夠向協議借出任何的加密資產。

IronBank ($CREAM) was exploited on $37.5M, let’s take a quick look at what happened.👇

1/ Attacker used Alpha Homora for borrowing sUSD from IronBank.
Each time they borrow twice as much as in the previous one.

— Igor Igamberdiev (@FrankResearcher) February 13, 2021
根據交易紀錄顯示,攻擊者共借出了 13,244 WETH、4,263,139 DAI、3,605,354 USDC 和 5,647,242 USDT。

圖像資料來源:Etherscan
最終,幾乎所有穩定幣都被存進了 Aave,其餘部分資產(約 220 ETH)已發送至以太坊隱私交易平台 Tornado.Cash 進行混幣交易。此外,攻擊者還分別向 Iron Bank 和 Alpha Homora 合約部署地址發送了 1000 ETH,並向 Tornado.cash 發送了 100 ETH的贈款。目前該駭客錢包地址中剩餘 10925 ETH,價值約 2000 萬美元。

官方正在調查中

CREAM 官方承認此事件的發生,並正在調查中。目前協議功能正常。

cream

Yearn 創辦人 Andre Cronje 以及 Yearn 核心團隊的 Sam Priestley 和 Carlos Sessa 給予 Iron Bank 很多意見,更重要的是,在社群上推了這個產品一把,在推出時曾引起話題。

Content retrieved from: https://www.owlting.com/news/articles/4162-%E5%BF%AB%E8%A8%8A%EF%BD%9CCream%E6%97%97%E4%B8%8B%E7%9A%84Iron+Bank%E9%A9%9A%E5%82%B3%E6%BC%8F%E6%B4%9E%E9%81%AD%E5%88%A9%E7%94%A8%EF%BC%81%E9%A7%AD%E5%AE%A2%E7%8D%B2%E5%88%A9%E7%B4%843700%E8%90%AC%E7%BE%8E%E5%85%83%E3%80%82.