由麻吉大哥黃立成創辦的台灣去中心化借貸平台 Cream Finance 今日稍早遇駭,損失超過1800萬美元。這是 Cream Finance 今年第二次成為駭客攻擊的受害者。
(前情提要:事件始末 | 黃立成旗下 Defi 新創Cream.Finance遭閃電貸攻擊,駭客得手近 10億台幣)
(背景補充:科普|究竟什麼是閃電貸?DeFi 近一個月就連爆 4 起相關攻擊)
今日下午 2 點 10 分,區塊鏈安全公司 PeckShield 在推特上示警,Cream Finance 已遭遇閃電貸(Flash Loan)攻擊。 Etherscan 數據顯示,2 名攻擊者共進行了 17 筆交易,竊取了以太幣、 AMP 、Cream Ether 等加密貨幣。
Cream Finance 下午 3 點 52 分在推特上證實,以太坊上的 C.R.E.A.M. v1 市場遭到駭客攻擊,導致 4 億 1831 萬 1571 顆 AMP 、1308.09 顆以太幣的損失,但強調已通過暫停在 AMP 上的供應和借貸服務來阻止漏洞攻擊,尚未有其他市場受到影響。
C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.
We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.
— Cream Finance
(@CreamdotFinance) August 30, 2021
受此駭客攻擊影響,在短短數個小時內,AMP 價格暴跌 12 % 至 0.0528 美元,Cream Finance 價格則下跌 5 % 至 166.9 美元。AMP 當前市值為 22 億美元,Cream Finance 當前市值為1.02 億美元。
PeckShield 在推特上表示,Cream Finance 遭遇閃電貸攻擊,是因為 AMP 代幣合約引入了一個可重入漏洞。AMP是一種類似 ERC777 的代幣,在更新第一次借貸之前,它被用來在轉移資產的過程中重新借入資產。
2/4 The hack is made possible due to a reentrancy bug introduced by $AMP, which is an ERC777-like token and exploited to re-borrow assets during its transfer before updating the first borrow. pic.twitter.com/oVg0w1FWFt
— PeckShield Inc. (@peckshield) August 30, 2021
PeckShield 在示例中解釋,駭客進行了 500 顆以太幣的閃電貸,並將資金存入作為抵押品,駭客接著借了1900 萬美元的 AMP ,並利用可重入漏洞,在 AMP 資產轉移的過程中,重新借入了 355 顆以太幣,然後駭客自行清算借款。
3/4 Specifically, in the example tx, the hacker makes a flashloan of 500 ETH and deposit the funds as collateral. Then the hacker borrows 19M $AMP and makes use of the reentrancy bug to re-borrow 355 ETH inside $AMP token transfer(). Then the hacker self-liquidates the borrow. pic.twitter.com/ryVX2RoxhJ
— PeckShield Inc. (@peckshield) August 30, 2021
PeckShield 指出,駭客在 17 個不同的交易中重複上述過程,總共獲得 5980 顆 ETH,相當於 1880 萬美元,目前資金仍存放在「0xa9a1b8ea288eb9ad315088f17f7c7386b9989c95b4d13c81b69d5ddad7ffe61e」的地址中。PeckShield 正在積極監控此地址的任何移動。
4/4 The hacker repeats the above process in 17 different txs and gains in total 5.98K ETHs (with ~$18.8M). The funds are still parked in 0xCE1F….6EDE. We are actively monitoring this address for any movement.
— PeckShield Inc. (@peckshield) August 30, 2021
Cream Finance 今年第二次被駭
這是 Cream Finance 今年第二次被駭。今年 2 月,Cream Finance 也曾遭遇閃電貸攻擊,駭客透過 Cream Finance 所推出的零抵押跨協議貸款鐵金庫(Iron Bank)及 Alpha Homora 的機制漏洞,共得手約 1 萬 3244 枚以太幣,當時價值約 3750 萬美元。
相關報導
&資安專欄|Cream & Alpha Finance被駭經過梳理,共損失13,244枚ETH
事件始末 | 黃立成旗下 Defi 新創Cream.Finance遭閃電貸攻擊,駭客得手近 10億台幣
台灣DeFi新創 | FuruCombo驚傳遭駭「1,500 萬美元」;麻吉大哥的Cream受牽連損110萬鎂
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
