推特用户josebaredes今日下午发文称,CreamFinance遭遇黑客攻击,看起来他们已经赚到了13,000ETH。而此时,Yearn创始人AndreCronje与Cream创始人JeffreyHuang正在ClubHouse谈笑风生。
CreamFinance官方注意到该事后,紧急发布推文称,我们意识到潜在的漏洞,并正在对此进行调查。这场黑客攻击到底是如何进行的?这场DeFi攻击事件又给我们带来哪些反思呢?
CreamFinance到底是如何被攻击?
TheBlock研究分析师@FrankResearcher在推特分析了CreamFinance推出的零抵押跨协议贷款IronBank被盗约3750美元资产的过程。
SecretNetwork创始人提议参考并复刻Luna-UST经济模型:3月28日消息,隐私区块链Secret Network创始人兼CEO guy发起社区讨论,提议参考并复刻Luna - UST经济模型,扩展Secret Network的生态系统,从而让 SCRT 成为生态系统的焦点货币,譬如通过燃烧SCRT可以以无滑点的方式铸造另一种货币。目前首批候选项目中,计划至少支持一个稳定币,并至少与有一个MPC项目合作,将Secret Network作为其Cosmos L1,同时随着时间推移,可以使用社区治理添加其他代币。为实现该目标,后续可能会进行硬分叉,向合约或模块发布新的非流通SCRT。[2022/3/28 14:22:29]
黑客具体攻击操作如下:
隐私公链Secret Network将于第二季度进行两次主网更新:金色财经报道,隐私公链Secret Network宣布将于今年二季度进行两次大型主网更新,其中在4月进行Shockwave Alpha主网升级,在6月进行Shockwave Omega主网升级,从而实现更好的可扩展性以及跨链IBC合约等,推动该公链成为Web3的数据隐私中心。[2022/3/23 14:12:31]
1.攻击者使用AlphaHomora从IronBank借入sUSD,每次借入资金都是上次借款的两倍。
2.攻击者通过两笔交易来完成任务,每次将资金借给IronBank获得cySUSD。
Morgan Creek创始人:以比特币计价使股票价格显得很糟糕:金色财经报道,Morgan Creek创始人Anthony Pompliano刚刚发推文称:“由于游戏被操纵,股票市场正在上涨。他们正在系统性地使美元贬值,这意味着购买同一资产需要更多的美元。以黄金或比特币计价相同的股票,股票价格看起来很糟糕。华尔街正在抢劫普通美国人。”[2020/6/6]
3.在某些时候,攻击者从Aavev2获得了180万美元的USDC闪电贷款,并使用Curve将USDC换成了sUSD。
4.攻击者把sUSD借给IronBank,使得他们可以继续获得cySUSD。
声音 | Morgan Creek创始人:特朗普无法改变比特币货币政策等:Morgan Creek创始人Anthony Pompliano刚刚发推文并@美国总统特朗普。Pompliano称:“您无法更改比特币的货币政策、供应计划、利率或交易历史记录。比特币没有CEO或员工,没有人会回应客服投诉。但您总能依靠比特币。它永远不会下线。”[2019/7/13]
5.一些sUSD用于偿还闪电贷款。
6.此外,1000万美元的闪电贷款也被用来增加cySUSD的数量。
7.最终攻击者获得了数额巨大的cySUSD,这让他们可以从IronBank借到任何资产。
8.随后攻击者借到了13.2万枚WETH、360万枚USDC、560万枚USDT、420万枚DAI。
9.稳定币已转入Aavev2,随后向IronBank部署者转入1000ETH、向Homora部署者转入1000ETH,向Tornado转入220ETH、向Tornadogrant转入100ETH,还有大约1.1万枚ETH在攻击者钱包地址中。
Cream目前调查进展
Cream.Finance发现漏洞后,先是发推文“已暂停IronBank的资产借款”,“CREAMv1资金是安全的”,官方不久后将这两条推文全部删除。
接着Cream.Finance再发推文称:对Cream合约和市场已完成调查,目前运行正常。V1和V2均已重新启用。检查报告随后发布。
在Cream.Finance被黑客攻击后,AlphaHomoraV2也遭受攻击。AlphaFinanceLab官方紧急处理,随后发推文称:已收到关于AlphaHomoraV2漏洞的通知。官方正与AndreCronje及Cream.Finance一起研究。与此同时,漏洞已被修复,正在调查被盗资金,且已经锁定主要嫌疑人。官方表示,用户不能从AlphaHomorav2借入更多资金,即没有新的杠杆头寸,只能在现有头寸上借入。V1是安全的,可以运行了。官方正处于高度戒备状态,事后将披露更多细节。
糙快猛DeFi开发方式带来的弊端和反思
今日DeFi项目漏洞频发,展示出DeFi在迅猛发展背后的问题,或许到了DeFi开发者慢下来思考一下的时候了。在Cream.Finance等DeFi项目被攻击后,神鱼发微博称,以AC为代表的糙快猛的DeFi开发方式,缺乏回归测试,弊端开始显现。值得一提的是,Yearn生态多个项目发生过黑客攻击。其中包括Pickle、SushiSwap、Yearn和今日的Cream。
2月12日,据特拉华州官网显示,灰度投资除YFI外,还新注册SNX、SUSHI、STX和COMP、MKR五种信托基金产品,注册时间均为2月10日。
虽然灰度CEO曾表示,注册信托实体并不代表会推出相应产品,请用户谨慎投资。但市场受消息影响异常兴奋,从而促使这些DeFi项目最近两日迅猛上涨,YFI价格更是一度超过BTC。然而,今日的黑客攻击事件,直接影响了市场信心,DeFi龙头领跌,市场似乎一下子冷静了许多。
DeFi的开发类似于乐高积木,其可组合性和可扩展性为区块链行业带来了新的发展空间;但是,DeFi中如果有一块”积木“出现问题,也非常容易引发系统性崩溃,从而为用户带来无法弥补的损失。DeFi行业还很年轻,历经的时间的考验还很短,黑客事件接连发生后,开发者或许也该重新审视一下DeFi带来的危机和机遇,从而打造出真正经得起时间考验的去中心化金融体系。
公告编号2021021201各位关心ZBG的投资者们和项目方:ZBG平台现已恢复EOS的提币。ZBG将以更好的用户体验为目标不断提升服务,感谢您的支持与信任!风险提示:加密货币资产是创新的投资产.
1900/1/1 0:00:00亲爱的用户:币安将于2021年02月19日14:00上线FRONT/BTC、EASY/BTC、CAKE/BTC、CAKE/USDT、BAKE/BUSD交易对.
1900/1/1 0:00:00编者按:本文来自?Polkadot生态研究院">Polkadot生态研究院,Odaily星球日报经授权转载.
1900/1/1 0:00:00昨日,比特傻试驾了下Tesla的ModelY。这款车是优点和缺点都十分明显的车。优点:智能辅助驾驶,手机远程操控系统。总之,凡是在信息化和智能化层面,特斯拉都做得很好.
1900/1/1 0:00:00周彦灵:2.14比特币小幅回撤勿追空,下周有望迎来大涨过年这两天休息了一下,没怎么时间写分析,不知大家这两天操作的如何?我们先来复个盘.
1900/1/1 0:00:00今天的封面是《山下的别墅》,保罗·西涅克昨晚雨神在圈子里发布了入场信号,并于市场插针之后继续稳定大家军心,表示后市大概率会继续上涨。果然,今天大饼成功突破5万美金.
1900/1/1 0:00:00