麻吉大哥黃立成旗下的台灣 Defi 借貸協議 Cream Finance 於今(14)日轉貼 YFI 創辦人 AC 的推特報告,證實了其昨(13)日的遭駭事件。據了解,駭客是透過 Cream Finance 所推出的零抵押跨協議貸款鐵金庫(Iron Bank)及Alpha Homora的機制漏洞,共得手約 13,244 枚以太幣,價值約 3,750 萬美元(約為 10.5 億台幣)。
(前情提要:捷報!幣安宣佈投資「台灣DeFi聚合平台FuruCombo」,讓DeFi麻瓜也能實現套利)
(事件背景:盤點2020以太坊安全事件:DeFi合約攻擊60逾起,損失高達2.5億美元)
(背景補充:YFI 宇宙|Cream “鐵金庫” Iron Bank 新型借貸平台,誰能坐上 “鐵王座”?)
沉寂已久的 DeFi 在 2020 年下半年成為焦點,成為許多用戶的新興借貸渠道,然而 Defi 的火熱也引起許多駭客覬覦,導致過去 Defi 合約攻擊頻傳。昨(13)日又再度發生駭客事件,此次受害者是台灣團隊開發的 Cream Finance 和槓桿流動性挖礦平台 Alpha Homora。
本次 Cream Finance 和 Alpha Homora 遭遇到的依舊是 Defi 市場常見的「*閃電貸(Flash loan)」攻擊。
駭客透過整合 Iron Bank 功能的 Alpha Homora 協議借入 sUSD,再將這些資金借給鐵金庫(Iron Bank)以獲得 cySUSD;並透過 DeFi 借貸協議 Aave 的閃電貸服務為 Iron Bank 提供流動性,藉此增加其 cySUSD 的持有量。
據以太坊區塊鏈交易紀錄,在此次攻擊中,Cream 和 Alpha Homora 共損失約 13,244 枚以太幣,價值約 3,750 萬美元。
*閃電貸:是指在一個區塊交易中有效的貸款,如果借款人在交易結束前沒有償還這筆貸款,那麼閃電貸款就是失敗的,不會被執行。這是因為如果沒有滿足償還條件,區塊鏈不會執行這筆交易。而閃電貸的資產來自一個公共的智能合約資金池,目前較為知名且流行的是由 Aave 和 dYdX 提供的資金池。
延伸閱讀:YFI遭駭!聚合挖礦協議Yearn Finance疑似遭「閃電貸」攻擊,損失1,100萬鎂
延伸閱讀:老司機翻車|SWAG半小時暴跌99.99%!為抗「惡意倒貨」官方緊急啟動 25 萬鎂回購計畫
(2/14 20:00 更新)黃立成針對此事件,獨家回應動區:
「此次駭客事件的起因於 Alpha Homora 的協議漏洞,駭客透過 Alpha 的漏洞獲取大量 sUSD 並在 Iron Bank 上做為抵押物正常借出款項,Cream Finance 作為 Alpha 的合作夥伴,全力幫助減輕他們的負擔。用戶在 Iron Bank 和 Cream V1 的資產是安全無虞的,遭駭消息傳出後,資金池擠兌是因用戶恐慌大量提幣,並非是攻擊者盜幣。」
事發經過
台灣時間 2 月 13 日 15:54,去中心化借貸協議 Cream Finance 於推特發文宣布,發現智能合約的潛在漏洞,並表示正在進行調查。
We are aware of a potential exploit and are looking into this. Thank you for your support as we investigate.
— Cream Finance 🍦 (@CreamdotFinance) February 13, 2021
驚傳遭駭
當日下午 4:57,《The Block》研究員 Igor Igamberdiev 在推特揭露,Cream Finance 已遭駭客攻擊,損失約 3,750 萬美金,並透過 9 篇 Twitter 貼文還原出整個被駭過程。
IronBank ($CREAM) was exploited on $37.5M, let’s take a quick look at what happened.👇
1/ Attacker used Alpha Homora for borrowing sUSD from IronBank.
Each time they borrow twice as much as in the previous one.— Igor Igamberdiev (@FrankResearcher) February 13, 2021
Igor Igamberdiev 在推特上整理的詳細攻擊過程(事件發生時間:2:16-30 pm):
- 攻擊者使用 Alpha Homora 從 Iron Bank 借入 sUSD,每次借入資金都是上次借款的兩倍。
- 攻擊者通過兩筆交易來完成任務,每次將資金借給 Iron Bank 獲得 cySUSD。
- 在某些時候,攻擊者從 Aave v2 獲得了 180 萬美元的 USDC 閃電貸款,並使用 Curve 將 USDC 換成了 sUSD。
- 攻擊者把 sUSD 借給 Iron Bank,使得他們可以繼續獲得 cySUSD。
- 一些 sUSD 用於償還閃電貸款。
- 接著,1,000 萬美元的閃電貸款被提取,並再將之用於增加 cySUSD 的數量。
- 最後,攻擊者獲得了數額巨大的 cySUSD ,這讓他們可以從 Iron Bank 借到任何資產。
- 隨後,攻擊者用得手的 cySUSD,成功借出 2 萬枚 WETH、360 萬枚 USDC 、560 萬枚 USDT、420 萬枚 DAI。
贓款轉移、洗錢、捐款回饋
攻擊者錢包地址數據顯示,駭客於台灣時間下午 2:21 分,便開始透過以太幣隱私交易平台 Tornado.Cash 進行洗錢,他將其中的 220 ETH 轉入 Tornado 進行混幣交易,將贓款洗出。
隨後,駭客回饋給受害事主,各別打了 1000 ETH 至 Cream.Finance 的開發者錢包,和 Alpha Homora Lab 的開發者錢包。
最後還不忘感謝本次使用的以太方洗錢工具 Tornado.Cash, 轉了 100 ETH 至 Tornado 的 Gitcoin 專案捐款地址。
官方反應
在遇駭消息傳開半小時後(5:26 pm),Cream Finance 再度發布公告,並稱已經暫停 Iron Bank 的資產借貸服務;然而,根據 Coindesk 消息,該推文於不久後遭到刪除。
截至截稿為止,仍有大約 10,924 ETH 還在駭客的以太坊錢包中,現值約為 2,008 萬美金。
駭客事件後續(鎖定嫌犯、事後報告)
直至 18:00 左右,Cream 官方發布推特宣告已完成協議檢查,並表示功能已恢復正常,市場已經重新開放。
C.R.E.A.M. contracts and markets were investigated and found to be functioning as normal. Markets have been re-enabled across both V1 and V2.
Post mortem to follow.
— Cream Finance 🍦 (@CreamdotFinance) February 13, 2021
晚間 6:26,Alpha Homora 官方也在推特表示 Alpha Homora V2 是上述 Cream Finance 協議發生問題的原因,平台已經正在處理問題,並已鎖定攻擊嫌疑犯。
Dear Alpha community, we've been notified of an exploit on Alpha Homora V2. We're now working with @AndreCronjeTech and @CreamdotFinance together on this.
The loophole has been patched.
We're in the process of investigating the stolen fund, and have a prime suspect already.
— Stella💫️️ | 0% Cost Leveraged Strategies Protocol (@stellaxyz_) February 13, 2021
直到今(14)日凌晨 3 時,Alpha Homora 終於發布聲明,解釋整件黑客事件。
市場反應
早在駭客事件發生的不久後,幣價進行了反應。據 Trading View 數據,Cream Finance 的治理代幣 Cream 在昨日下午 3 點從最高價 283.6 美金下殺到最低價 171.3 美金,下跌幅度 39.6%。
目前 Cream 價格已有稍微回升,截稿前報 217.5 美元。
而 Alpha Homora 的原生代幣 Alpha 受影響幅度則相對較小,在昨日下午 5 點從最高價 2.18 美金下殺到最低價 1.71 美金,下跌幅度 20.4%。
目前 Alpha 價格已有稍微回升,截稿前報 1.83 美元。
📍相關報導📍
麻吉大哥興奮宣布:YFI跟Cream合併!共造Cream V2,Yearn Finance宇宙漸成型?
大哥新作「秘銀現金 MIC」!兩天鎖倉量飆破「10億美元」的演算法貨幣,但價格已從高點回落84%
詳解 | DEX、Defi 交易所的發展前景:雙雙破歷史新高!Uni 與 Sushi 已分道揚鑣
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務