USD:Cream Finance协议遭黑客闪电攻击事件分析_SUSD币是什么币USDC币

事件背景

CreamFinance是建立在智能合约基础上的开放普惠的金融体系。通过以方便快捷的方式在线提供消费贷款，是一个利用流动性挖矿的去中心化借贷和交易平台。

北京时间2020年2月13日，CreamFinance官方推特称出现黑客盗币事件，并表示随后会披露漏洞细节。

随后零时科技安全团队立刻对该安全事件进行复盘分析。

事件分析

通过分析此事件，该次攻击由0x905315602ed9a854e325f692ff82f58799beab57合约地址完成，目前该地址已被标记为盗币者地址，并存在多次攻击交易，如图：

安全团队：Creepy Friends项目Discord服务器遭到攻击:金色财经报道，据CertiK监测，Creepy Friends项目Discord服务器遭到攻击。请社区用户在修复之前不要点击@yuvalshalem3发布的任何链接。[2022/12/8 21:31:07]

主要攻击的6笔交易如下：

1.攻击者通过杠杆不断借款，最终获得cySUSD。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

Enigma成立针对隐私的非赢利基金会SecretFoundation:Enigma宣布成立针对隐私的非赢利基金会SecretFoundation，目标是将隐私作为一种公共物品发展，通过提供必需的工具、技术、教育和支持来赋予人们权力，将在治理、可持续性和包容性产生重大的积极影响。SecretFoundation最初由EnigmaMPC捐赠资金维护，未来将从SecretNetwork网络社区获得一定资金以资助基金会的关键运营。SecretFoundation由Enigma增长主管TorBair创始执行董事兼董事长，EnigmaMPC联合创始人兼CEOGuyZyskind和Iqlusion首席联合创始人ZakiManian任董事。此前消息，区块链项目开发团队Enigma宣布将原本的隐私公链Enigma改名为SecretNetwork（隐秘网络），宣布将于7月份启动第一个隐秘合约（SecretContract）的公开激励测试网。Enigma协议核心开发团队EnigmaMPC联合创始人兼CEOGuyZyskind于今年2月发文称，会在未来6个月内将隐秘合约功能引入Enigma主网，考虑开发这一功能使用了像英特尔SGX这样的受信任执行环境（TEE），团队计划在该功能上线主网之前，上线一个针对隐秘合约的激励测试网。[2020/6/16]

动态 | Cred聘请加州北部城市Emeryville市长Ally Medina担任政府关系和商业发展主管:加密借贷平台Cred已聘请加州北部城市Emeryville市长Ally Medina担任政府关系和商业发展主管一职，Medina将负责领导该公司的公司的战略政府关系和业务发展计划。同时，Medina将继续以兼职的方式履行其作为市议会成员的职责。（BusinessWire）[2019/12/3]

2.攻击者继续进行借款并获得cySUSD。

https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4

声音 | Morgan Creek创始人：如果美国继续当前的监管环境，Poloniex事件将成为常态:Morgan Creek创始人Anthony Pompliano刚刚发推文表示，Poloniex正在移出美国，专注于国际市场。他们甚至不让美国客户继续使用他们的产品。如果美国继续创造一个专横和/或不确定的监管环境，这将成为常态。我们必须使事态转向正确。[2019/10/19]

3.攻击者借出180万USDC，之后通过Curve.fi将USDC兑换为sUSD，最终获得cySUSD，并继续利用杠杆翻倍借款sUSD。最后偿还闪电贷。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

4.攻击者继续借出1000万USDC，通过兑换等操作获取cySUSD，并继续利用杠杆翻倍借款sUSD，最后偿还闪电贷。

https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e

5.攻击者再次借出1000万USDC，通过兑换等操作获取cySUSD，最后归还闪电贷。

https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57

6.攻击者利用自己得到的大量cySUSD资产，从Cream.Finance中借出多个数字资产,完成攻击获利。

https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

总结

本次盗币是攻击者利用零抵押跨协议贷款的缺陷进行漏洞攻击，通过不断的利用杠杆来增加借款的金额，增加流动性，兑换为cySUDC，并通过多次操作获取大量cySUDC从而最终借出自己想要的资产。

安全建议

DeFi今年确实备受关注，黑客攻击也不断发生，类似CreamFinance这样的项目，包括creamfinance，alphafinance均受到不同程度的黑客攻击。针对频频发生的黑客攻击事件，我们给出的安全建议就是：

在项目上线之前，找专业的第三方安全企业进行全面的安全审计，而且可以找多家进行交叉审计；

可以发布漏洞赏金计划，发送社区白帽子帮助找问题，先于黑客找到漏洞；

加强对项目的安全监测和预警，尽量做到在黑客发动攻击之前发布预警从而保护项目安全。

标签：USDSUSDUSDCUSD币USD价格SUSD币是什么币USDC币USDC价格

BNB价格热门资讯