USD:细节分析：DeFi 平台Cream Finance 再遭攻击，1.3 亿美金被盗_flare币估值

By：Kong@慢雾安全团队

据慢雾区消息，2021年10月27日，CreamFinance再次遭受攻击，损失约1.3亿美金，慢雾安全团队第一时间介入分析，并将简要分析分享如下。

攻击核心

本次攻击的核心在于利用Cream借贷池对抵押物价格获取的缺陷，恶意操控拉高了其抵押物的价格，使得攻击者可以从Cream借贷池借出更多的代币。

攻击细节

首先攻击者从DssFlash中闪电贷借出5亿个DAI，随后将借出的5亿个DAI抵押至yearn的yDAI池中，以获得约4.5亿个yDAI凭证。

随后攻击者将获得的yDAI代币在Curve的yDAI/yUSDC/yUSDT/yTUSD池子中进行单币流动性添加，以获得相应的流动性凭证。紧接着攻击者就将获得的凭证抵押到yUSD池子中以获得yUSD凭证，为后续在CreamcrYUSD借贷池中抵押做准备。

HALO公布空投细节，快照将于3月3日陆续启动:2月26日消息，3D 虚拟形象 NFT 项目 HALO OFFICIAL 发文公布空投细节，空投 Token 总量为 1000 万枚。其中：

HALO NFT 持有者获得 25%；

HALO Avatar NFT 持有者获得 25%；

Life Avatar Poap 持有者获得 10%；

Lifeform Activity Medal 持有者获得 10%；

Lifeform Points 持有者获得 20%；

Lifeform Avatar 持有者获得 5%；

Lifeform Cartoon Avatar 持有者获得 5%。

此外，质押的 NFT 不包含在快照中。因此，用户需确保在拍摄快照之前取消质押。快照时间为：3 月 3 日 8 时（除 Lifeform Points 外的其他地址）；3 月 5 日 8 时（Lifeform Points 地址）。[2023/2/26 12:30:27]

之后攻击者开始向Cream的crYUSD借贷池中抵押其获得yUSD凭证，为了扩大其抵押规模，攻击者从AAVE闪电贷借出约52.4万个WETH，并将其抵押到Cream的crETH池子中。

Velodrome公布代币初始释放及空投细节，将向跨链DeFi用户及OP持有者空投:5月23日消息，由Solidly生态项目veDAO在Optimism上推出的以Solidly为模板的DEX Velodrome公布了代币初始释放及空投细节。代币VELO初始释放量为4亿枚，其中60%将进行空投；24%将以veVELO的形式分配给协议及DAO；10%将分配给团队；5%将以veVELO的形式分配给Optimism团队，剩余1%将作为初始流动性。用于空投的60%（2.4亿枚VELO）中，45%将分配给WeVE持有者；25%将分配给跨链DeFi用户（包括Curve、Convex、Platypus Finance、Treasure DAO、Redacted Cartel用户）；30%将分配给OP持有者。[2022/5/23 3:36:33]

攻击者通过在crETH池子中抵押大量ETH，来使得其有足够的借贷能力将crYUSD池子中的yUSD全部借出并重复抵押到crYUSD池子中，随后通过在crYUSD池子中进行循环贷以杠杆的形式扩大了本身在crYUSD池子中yUSD的抵押规模，为后续操控价格获利做准备。

随后为了获得yDAI/yUSDC/yUSDT/yTUSD4Pool凭证以操控价格，攻击者用约1,873个ETH从UniswapV3中兑换出约745万个USDC，并通过Curve3Pool将其兑换成DUSD代币约338万个。

比特币开发人员仍对Taproot激活细节存在分歧:金色财经报道，比特币Taproot升级的代码已最终确定，并已打包在即将发布的更新中。然而其尚未准备好部署，因为比特币开发人员对最佳激活途径持有不同意见。据悉，Bitcoin Core贡献者A.J. Towns调查了其他12位积极参与实施过程的开发人员。调查结果表明，虽然开发人员通常在激活Taproot的全局上保持一致，但他们在细节上存在意见分歧。[2020/10/31 11:16:46]

接下来攻击者通过获得的DUSD代币从YVaultPeak中赎回yDAI/yUSDC/yUSDT/yTUSD4Pool凭证，并利用此凭证从yUSD池子中取回yDAI/yUSDC/yUSDT/yTUSD代币。

随后攻击者开始进行此次攻击的关键操作，其将约843万个yDAI/yUSDC/yUSDT/yTUSD代币直接转回yUSD池子中，由于其不是通过正常抵押操作进行抵押的，所以这843万个yDAI/yUSDC/yUSDT/yTUSD代币并没有被单独记账，而是直接分散给了yDAI/yUSDC/yUSDT/yTUSD凭证的持有者，这相当于直接拉高了其share的价格。

动态 | Blockstream工程师公布闪电网络漏洞全部细节:闪电网络上个月底被发现安全漏洞。近日，开发了闪电网络大部分协议的Blockstream工程师Rusty Russell公布了该漏洞的全部细节。根据披露，该漏洞正在创建和资助闪电网络渠道。创建通道后，不需要通道的接收者来验证资金交易输出。由于闪电网络协议不需要这种验证，攻击者可以声称打开了一个通道，但不向对等方支付，或者不支付全部金额。这使得攻击者可以在不警告受害者的情况下，将资金花在与受害者一起创建的通道中。只有当受害者关闭与攻击者的通道时，他们才会注意到通道之间提交的任何事务都是无效的。尽管闪电网络开发人员已推送更新，但较旧的版本仍会受到影响，因此建议用户升级。（The Block）[2019/9/28]

在crToken中由于其抵押物价格被恶意拉高了，因此攻击者抵押的大量yUSD可以使其借出更多的资金，最后攻击者将Cream的其他15个池子全部借空。接下来我们跟进Cream的crToken借贷池中具体借贷逻辑。

从cToken合约中我们可以看到，主要借贷检查在borrowAllowed函数中：

动态 | 外媒公布更多细节佐证卢森堡初创公司OnMiners属局:据Bitcoinist消息，关于此前卢森堡公司OnMiners S.A.或是局的消息，外媒公布更多了细节予以佐证：加密货币YouTube频道的主持人MrSotko指出，该公司推出的矿机参数似乎立刻就引起了怀疑；该公司的高管并不存在。通过谷歌对OnMiners高管的图片进行搜索显示，他们的脸部照片都是库存照片，其中一些已经在网上其他地方使用，这些照片所附的名字与真实生活中的人并不相符；官方网站信息缺失，且盗取其他公司照片用于宣传。目前该公司的所谓“代表们”尚未对不断增多的指控作出回应。据此前消息，卢森堡公司OnMiners S.A.正在推出三个新吸热加密货币挖矿设备，可以挖掘BTC、LTC、ETH、XMR、DASH和ZEC。该设备可承受高功率但能耗低，同时减少热量和噪音的产生。[2019/3/20]

我们跟进borrowAllowed函数，可以看到在427行，其会根据getHypotheticalAccountLiquidityInternal函数检查实时状态下的该账户所对应的所有cToken的资产价值总和和借贷的资产价值总和，并通过对比cToken的资产价值和借贷的Token价值和，来判断用户是否还可以继续借贷。

我们跟进getHypotheticalAccountLiquidityInternal函数，可以发现对于抵押物的价值获取来自886行的oracle.getUnderlyingPrice。

我们跟进预言机的getUnderlyingPrice函数，可以容易的发现其将通过代币150行的getYvTokenPrice函数进行价格获取。

继续跟进getYvTokenPrice函数，由于yvTokenInfo.version为V2，因此将通过yVault的pricePerShare函数进行价格获取。

跟进pricePerShare可以发现其直接返回了_shareValue作为价格，而_shareValue是通过_totalAssets除合约的总share数量(self.totalSupply)来计算单个share的价格的。因此攻击者只需要操控_totalAssets将其拉高就可以提高单个share的价格从而使得攻击者的抵押物价值变高以借出更多的其他代币。

我们可以查看下_totalAssets是如何获取的，从772行我们可以很清晰的看到，_totalAssets是直接取的当前合约的yDAI/yUSDC/yUSDT/yTUSD代币数量，以及抵押在策略池中的资产数额相加获得的。因此攻击者通过直接往yUSD合约中转入yDAI/yUSDC/yUSDT/yTUSD代币就可以拉高share价格从而完成获利。

通过Ethtx.info可以清晰的看到pricePerShare前后变化：

最后攻击者在借空其他池子后归还了闪电贷获利离场。

总结

本次攻击是典型的利用闪电贷进行价格操控，由于Cream的借贷池在获取yUSD池子share价格时直接使用了其pricePerShare接口，而此接口是通过合约的抵押物余额与策略池抵押资产数额相加除总share数来计算单个share的价格的。因此用户直接往yUSD转入抵押物就可以很容易的拉高单个share价格，最终使得Cream借贷池中抵押物可以借出更多的资金。

附：前两次CreamFinance被黑分析回顾

慢雾：CreamFinance被黑简要分析

标签：USDSHASHAREAREUSDGMarshal Lion Group CoinOne Shareflare币估值

以太坊价格今日行情热门资讯