一文解讀Cream被攻擊始末。
推特使用者josebaredes今日下午發文稱,Cream Finance遭遇駭客攻擊,看起來他們已經賺到了13,000 ETH(後經多方資訊核實大於這一數字,實際上約為3750萬美元)。而此時,Yearn創始人Andre Cronje與Cream創始人Jeffrey Huang正在ClubHouse談笑風生。
Cream Finance官方注意到該事後,緊急釋出推文稱,我們意識到潛在的漏洞,並正在對此進行調查。這場駭客攻擊到底是如何進行的?這場DeFi攻擊事件又給我們帶來哪些反思呢?
Cream Finance到底是如何被攻擊?
The Block研究分析師 @FrankResearcher在推特分析了Cream Finance推出的零抵押跨協議貸款IronBank被盜約3750萬美元資產的過程。
駭客具體攻擊操作如下:
1. 攻擊者使用Alpha Homora從IronBank借入sUSD,每次借入資金都是上次借款的兩倍。
2. 攻擊者透過兩筆交易來完成任務,每次將資金借給IronBank獲得cySUSD。
3. 在某些時候,攻擊者從Aave v2獲得了180萬美元的USDC閃電貸款,並使用Curve將USDC換成了sUSD。
4. 攻擊者把sUSD借給IronBank,使得他們可以繼續獲得cySUSD。
5. 一些sUSD用於償還閃電貸款。
6. 此外,1000萬美元的閃電貸款也被用來增加cySUSD的數量。
7. 最終攻擊者獲得了數額巨大的cySUSD ,這讓他們可以從IronBank借到任何資產。
8. 隨後攻擊者借到了13.2萬枚WETH、360萬枚USDC 、560萬枚USDT、420萬枚DAI。
9. 穩定幣已轉入Aave v2,隨後向 IronBank 部署者轉入1000ETH、向Homora部署者轉入1000 ETH,向Tornado 轉入220ETH 、向Tornado grant轉入100ETH,還有大約1.1 萬枚ETH在攻擊者錢包地址中。
Cream目前調查進展
Cream.Finance發現漏洞後,先是發推文“已暫停IronBank的資產借款”,“CREAM v1資金是安全的”,官方不久後將這兩條推文全部刪除。
接著Cream.Finance再發推文稱:對Cream合約和市場已完成調查,目前執行正常。 V1和V2均已重新啟用。檢查報告隨後釋出。
在Cream.Finance被駭客攻擊後,Alpha Homora V2也遭受攻擊。Alpha Finance Lab官方緊急處理,隨後發推文稱:已收到關於Alpha Homora V2漏洞的通知。官方正與Andre Cronje及Cream.Finance一起研究。與此同時,漏洞已被修復,正在調查被盜資金,且已經鎖定主要嫌疑人。官方表示,使用者不能從Alpha Homora v2借入更多資金,即沒有新的槓桿頭寸,只能在現有頭寸上借入。V1是安全的,可以執行了。官方正處於高度戒備狀態,事後將披露更多細節。
糙快猛DeFi開發方式帶來的弊端和反思
今日DeFi專案漏洞頻發,展示出DeFi在迅猛發展背後的問題,或許到了DeFi開發者慢下來思考一下的時候了。在Cream.Finance等DeFi專案被攻擊後,神魚發微博稱,以AC(YFI創始人Andre Cronje)為代表的糙快猛的DeFi開發方式,缺乏迴歸測試,弊端開始顯現。值得一提的是,Yearn生態多個專案發生過駭客攻擊。其中包括Pickle、SushiSwap、Yearn和今日的Cream。
2月12日,據特拉華州官網顯示,灰度投資(Grayscale Investment)除YFI外,還新註冊 SNX (Synthetix)、SUSHI (Sushiswap)、STX (Blockstack)和COMP(Compound) 、MKR (MakerDAO)五種信託基金產品,註冊時間均為 2 月 10 日。
雖然灰度 CEO 曾表示,註冊信託實體並不代表會推出相應產品,請使用者謹慎投資。但市場受訊息影響異常興奮,從而促使這些DeFi專案最近兩日迅猛上漲,YFI價格更是一度超過BTC。然而,今日的駭客攻擊事件,直接影響了市場信心,DeFi龍頭領跌,市場似乎一下子冷靜了許多。
DeFi的開發類似於樂高積木,其可組合性和可擴充套件性為區塊鏈行業帶來了新的發展空間;但是,DeFi中如果有一塊”積木“出現問題,也非常容易引發系統性崩潰,從而為使用者帶來無法彌補的損失。DeFi行業還很年輕,歷經的時間的考驗還很短,駭客事件接連發生後,開發者或許也該重新審視一下DeFi帶來的危機和機遇,從而打造出真正經得起時間考驗的去中心化金融體系。
