BTC/HKD+2.4%
ETH/HKD+0.35%
LTC/HKD+3.92%
DOT/HKD-3.99%
ADA/HKD-6.29%
SOL/HKD+1.62%
XRP/HKD+0%
DOGE/US-1.63%事件背景
CreamFinance是建立在智能合約基礎上的開放普惠的金融體系。通過以方便快捷的方式在線提供消費貸款,是一個利用流動性挖礦的去中心化借貸和交易平臺。
北京時間2020年2月13日,CreamFinance官方推特稱出現黑客盜幣事件,并表示隨后會披露漏洞細節。
隨后零時科技安全團隊立刻對該安全事件進行復盤分析。
事件分析
通過分析此事件,該次攻擊由0x905315602ed9a854e325f692ff82f58799beab57合約地址完成,目前該地址已被標記為盜幣者地址,并存在多次攻擊交易,如圖:
SGInnovate和Accredify開發基于區塊鏈的數字健康護照:新加坡國有投資公司SGInnovate和新加坡初創企業Accredify聯合開發了一種新的基于區塊鏈的數字健康護照,允許個人醫療數據存儲在受區塊鏈保護的數字錢包中。(Cointelegraph)[2020/9/30]
主要攻擊的6筆交易如下:
1.攻擊者通過杠桿不斷借款,最終獲得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
Decred聯合創始人:CBDC將促進裙帶資本主義:金色財經報道,Decred聯合創始人Jake Yocom-Piatt認為,CBDC的出現將促進裙帶資本主義的發展。Yacom-Piatt認為銀行體系的當前建立方式是,如果美聯儲想向公司或行業提供貸款,它就不能直接這樣做。相反,它必須首先向商業銀行貸款,然后由商業銀行將這些資金貸出。這至少創造了一定程度的透明度和問責制。而CBDC最終可能導致央行在沒有任何制衡的情況下任意發行信貸,這實質上將促進裙帶資本主義。[2020/6/18]
2.攻擊者繼續進行借款并獲得cySUSD。
聲音 | Morgan Creek創始人:第一個擁抱比特幣的國家將具有顯著的優勢:今日在由日本經濟新聞社和日本金融廳聯合主辦的FINSUM大會上,Morgan Creek創始人Anthony Pompliano表示:“日本金融廳有相當明確的監管框架,他們希望看到比特幣/閃電網絡成功,他們特別告訴我,他們認為開放網絡會贏,他們希望成為采用該技術的世界領導者。”此外,Pompliano還在推特稱,日本金融廳是比特幣和閃電網絡的重要支持者,第一個擁抱比特幣的國家將具有顯著的優勢。(bitconist)[2019/9/4]
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
聲音 | eToro分析師:同意Morgan Creek創始人“歐洲央行印鈔推動BTC上漲”的觀點:針對Morgan Creek創始人Anthony Pompliano“歐洲央行印鈔是比特幣價格的火箭燃料”之眼淚。eToro高級市場分析師Mati Greenspan發推表示:關于這一點,Pompliano是絕對正確的。歐洲央行出臺更多刺激措施,意味著有更多資金用于全面投資。所有資產都在上漲,包括比特幣。唯一不同的是,當其他資產下跌時比特幣可以作為對沖。[2019/7/29]
3.攻擊者借出180萬USDC,之后通過Curve.fi將USDC兌換為sUSD,最終獲得cySUSD,并繼續利用杠桿翻倍借款sUSD。最后償還閃電貸。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻擊者繼續借出1000萬USDC,通過兌換等操作獲取cySUSD,并繼續利用杠桿翻倍借款sUSD,最后償還閃電貸。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻擊者再次借出1000萬USDC,通過兌換等操作獲取cySUSD,最后歸還閃電貸。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻擊者利用自己得到的大量cySUSD資產,從Cream.Finance中借出多個數字資產,完成攻擊獲利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
總結
本次盜幣是攻擊者利用零抵押跨協議貸款的缺陷進行漏洞攻擊,通過不斷的利用杠桿來增加借款的金額,增加流動性,兌換為cySUDC,并通過多次操作獲取大量cySUDC從而最終借出自己想要的資產。
安全建議
DeFi今年確實備受關注,黑客攻擊也不斷發生,類似CreamFinance這樣的項目,包括creamfinance,alphafinance均受到不同程度的黑客攻擊。針對頻頻發生的黑客攻擊事件,我們給出的安全建議就是:
在項目上線之前,找專業的第三方安全企業進行全面的安全審計,而且可以找多家進行交叉審計;
可以發布漏洞賞金計劃,發送社區白帽子幫助找問題,先于黑客找到漏洞;
加強對項目的安全監測和預警,盡量做到在黑客發動攻擊之前發布預警從而保護項目安全。
提及移民火星的話題,很多人都特別興奮,曾經感覺科幻的畫面似乎越來越逼真了。畢竟,NASA已經計劃在2030年左右發送宇航員登陸火星;埃隆·馬斯克的火星移民計劃打算在2026年左右送人類上火星;阿.
1900/1/1 0:00:00這里是謝寶說汽車,感謝閱讀今日文章熱點。大家好,這里是“謝寶說汽車”,每日為老鐵們帶來各種精彩的汽車資訊,喜歡的朋友們千萬不要錯過哦!一起來看看我們今天要聊的內容吧! 根據吉利發布的官方數據,它.
1900/1/1 0:00:002021款本田CR-V是所有緊湊型SUV的基準,在中國市場一直長盛不衰。客觀地講,由于其強大的貨運能力,寬大的后排座椅,強勁高效的發動機,均衡的行駛動力,具有競爭力的價格和功能,強大的安全性等級.
1900/1/1 0:00:00Billions項目組3月18日,上汽通用五菱首款皮卡征途正式上市,全系兩款車型進取型和開拓型的官方指導價比預售價降低1000元,分別為5.88萬元、6.28萬元.
1900/1/1 0:00:00馬來西亞賺錢很容易,長期和馬來西亞人打交道,所以對當地的風土人情有所了解。馬來西亞的穆斯林可以娶4個老婆,他們把上廁所稱作“唱歌”,他們工作的低效率害我差點被炒魷魚,當地人不愛加班,對升職加薪也.
1900/1/1 0:00:00稱2020年為Billions項目組豐收年是一種輕描淡寫的說法,最流行的加密貨幣飆升打破了各種價格記錄,而其他更傳統的資產的價值卻遭受重創.
1900/1/1 0:00:00
比特幣行情
