USDC:Cream Finance協議遭黑客閃電攻擊事件分析_SUSD幣是什么幣USDC幣

事件背景

CreamFinance是建立在智能合約基礎上的開放普惠的金融體系。通過以方便快捷的方式在線提供消費貸款，是一個利用流動性挖礦的去中心化借貸和交易平臺。

北京時間2020年2月13日，CreamFinance官方推特稱出現黑客盜幣事件，并表示隨后會披露漏洞細節。

隨后零時科技安全團隊立刻對該安全事件進行復盤分析。

事件分析

通過分析此事件，該次攻擊由0x905315602ed9a854e325f692ff82f58799beab57合約地址完成，目前該地址已被標記為盜幣者地址，并存在多次攻擊交易，如圖：

PeckShieldAlert：標記為CreamFinance攻擊者3的地址將100萬DAI兌換為596.34ETH:金色財經報道，據PeckShieldAlert監測，在過去2天內，標記為CreamFinance攻擊者3的地址將100萬DAI兌換為596.34ETH，并將其中的594.75ETH轉移到TradeOgre。

該地址目前持有價值758萬美元的加密貨幣，其中包括4,163.8ETH和約604,200DAI。[2023/8/21 18:12:51]

主要攻擊的6筆交易如下：

Yearn與交易聚合器Recipe Creator集成:8月17日消息，收益聚合平臺yearn.finance已與DeFi自動化管理系統DeFi Saver的交易聚合器Recipe Creator集成，用戶可以使用DeFi Saver將任何受支持的資產存入Yearn資金庫，同樣可以使用DeFi Saver與其他DeFi協議的交互結合起來。[2021/8/17 22:19:26]

1.攻擊者通過杠桿不斷借款，最終獲得cySUSD。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

Morgan Creek聯合創始人：全球99.8%人口將無法購買1枚比特幣:金色財經報道，Morgan Creek聯合創始人Jason Williams發布推文稱，在大約200天內（距離減半還有69天），全球99.8%的人口將無法購買1個比特幣。[2020/3/3]

2.攻擊者繼續進行借款并獲得cySUSD。

https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4

動態 | Morgan Creek Digital目前持有費爾法克斯退休系統養老基金約1%的資產:Morgan Creek Digital目前持有費爾法克斯退休系統（Fairfax Retirement System）兩家養老基金約1%的資產，自其今年2月首次投資Morgan Creek Digital基金以來，這一投資已增長逾一倍。該系統下的三支養老基金中，警官退休基金（Police Officer ' s Retirement System）和雇員退休基金（Employees ' Retirement System）這兩支基金曾于去年10月向Morgan Creek的第二支基金投資5500萬美元。（CoinDesk）[2019/11/9]

3.攻擊者借出180萬USDC，之后通過Curve.fi將USDC兌換為sUSD，最終獲得cySUSD，并繼續利用杠桿翻倍借款sUSD。最后償還閃電貸。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

4.攻擊者繼續借出1000萬USDC，通過兌換等操作獲取cySUSD，并繼續利用杠桿翻倍借款sUSD，最后償還閃電貸。

https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e

5.攻擊者再次借出1000萬USDC，通過兌換等操作獲取cySUSD，最后歸還閃電貸。

https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57

6.攻擊者利用自己得到的大量cySUSD資產，從Cream.Finance中借出多個數字資產,完成攻擊獲利。

https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

總結

本次盜幣是攻擊者利用零抵押跨協議貸款的缺陷進行漏洞攻擊，通過不斷的利用杠桿來增加借款的金額，增加流動性，兌換為cySUDC，并通過多次操作獲取大量cySUDC從而最終借出自己想要的資產。

安全建議

DeFi今年確實備受關注，黑客攻擊也不斷發生，類似CreamFinance這樣的項目，包括creamfinance，alphafinance均受到不同程度的黑客攻擊。針對頻頻發生的黑客攻擊事件，我們給出的安全建議就是：

在項目上線之前，找專業的第三方安全企業進行全面的安全審計，而且可以找多家進行交叉審計；

可以發布漏洞賞金計劃，發送社區白帽子幫助找問題，先于黑客找到漏洞；

加強對項目的安全監測和預警，盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。

Tags：USDSUSDUSDCUSD幣USD價格SUSD幣是什么幣USDC幣USDC價格

歐易交易所