財經
Cream Finance再遭攻擊損失 1.3 億美元
台灣去中心化(DeFi)借貸平台 Cream Finance 在推特上表示,其以太坊 CREAM v1 借貸市場在 10 月 27 日 UTC 時間 13 時 54 分(台北時間 27 日晚間 9 時 54 分)遭遇駭客攻擊,攻擊者盜走價值約 1.3 億美元的加密貨幣,沒有其他市場受到影響。
台灣去中心化(DeFi)借貸平台 Cream Finance 在推特上表示,其以太坊 CREAM v1 借貸市場在 10 月 27 日 UTC 時間 13 時 54 分(台北時間 27 日晚間 9 時 54 分)遭遇駭客攻擊,攻擊者盜走價值約 1.3 億美元的加密貨幣,沒有其他市場受到影響。
Cream Finance 進一步表示:在 Yearn finance 、社群的其他人等朋友的幫助下,我們得以識別漏洞並修補它們。與此同時,我們已暫停了以太坊上的 v1 借貸市場,並且正在進行事後審查。對於這次不幸的事件,我們向我們的用戶和社群道歉,並感謝您的支持。
史上第三大 DeFi 駭客攻擊案
針對此次攻擊得以成功的原因,區塊鏈安全公司 PeckShied 在推特上表示,是因為 Cream Finance 的預言機有價格操弄漏洞,使得幾乎所有借貸池中的資金能夠被直接借走。
PeckShied 進一步指出,用來發動此次攻擊的初始資金,是透過混幣協議 TornadoCash 提出,駭客並將獲得的贓款轉移至 0x24354D31bC9D90F62FE5f2454709C32049cf866b ,而駭客還持續從 ParaSwap 與 Uniswap 中兌幣,PeckShied 正在積極監控此地址的任何動向。
Rekt 數據顯示,這次的駭客攻擊是歷史上規模第三大的 DeFi 駭客攻擊事件,不過其他兩個駭客攻擊事件最後被盜資金都得到返還。
Etherscans 數據顯示,這名尚未確認身份的攻擊者已盜走來自 Cream LP 代幣的大部分資金,並將這些資金轉換成 9200 萬美元的 DAI 、2300 萬美元的 USDC,這些資金已被轉至其他多個錢包當中。
值得注意的是,駭客在區塊鏈上留下了奇怪的訊息。《The Block》解讀,駭客似乎是在對 DeFi 借貸平台 Aave 、 Iron Bank 以及 Cream Finance 做出評論。
駭客留下的訊息是:
「gÃTµ Baave 幸運,Iron Bank幸運,Crea不是。ydev:incest不好,不要這樣做。」
受到駭客攻擊事件的影響,據 Tradingview 數據,CREAM 代幣價格大幅下跌,在過去 24 小時內暴跌了 35%,從 150 美元上方直線滑落至截稿前的 102.01 美元。
Cream 三度遭駭
事實上,這已是 Cream Finance 今年第三次遭遇駭客攻擊。
今年 2 月,Cream Finance 首次遭遇閃電貸攻擊,駭客透過 Cream Finance 所推出的零抵押跨協議貸款鐵金庫(Iron Bank)及 Alpha Homora 的機制漏洞,共得手約 1 萬 3244 枚以太幣,當時價值約 3750 萬美元。
今年 8 月,Cream Finance 的以太坊上的 C.R.E.A.M. v1 市場又遭遇閃電貸攻擊,導致 4 億 1831 萬 1571 顆 AMP 、1308.09 顆以太幣的損失,當時損失價值超過 1,800 萬美元。