事件背景
CreamFinance是建立在智能合约基础上的开放普惠的金融体系。通过以方便快捷的方式在线提供消费贷款,是一个利用流动性挖矿的去中心化借贷和交易平台。
北京时间2020年2月13日,CreamFinance官方推特称出现黑客盗币事件,并表示随后会披露漏洞细节。
随后零时科技安全团队立刻对该安全事件进行复盘分析。
事件分析
通过分析此事件,该次攻击由0x905315602ed9a854e325f692ff82f58799beab57合约地址完成,目前该地址已被标记为盗币者地址,并存在多次攻击交易,如图:
声音 | 国家区块链经济课题研究组秘书长:虚拟币涨价是表象,监管不会放松还会加强:工信部指导的中国移动通信联合会区块链专业委员会主任陈晓华教授表示,虚拟币的涨价只是一种暂时现象,是表象。事实上,国内并没有放松对虚拟货币、对互联网金融的专项整治,而且我认为还会继续加强。此外,未来三到五年,区块链行业肯定会有一轮洗牌,因为越来越多的机构正在进入到这个行业中,市场竞争会越来越强。要想实现健康的、可持续的发展,一是要做好技术研发,拥有足够的技术储备;另一方面就是要跟实际产业进行结合,这样才能获得比较长久的发展。(新京报)[2019/10/28]
动态 | 支付宝疑似回应币安:禁止将支付宝用于虚拟币交易:10月10日消息,据支付宝安全中心消息,其重申了对虚拟货币场外交易的态度,禁止将支付宝用于虚拟币交易。支付宝表示,若发现交易涉及比特币或其他虚拟货币交易,支付宝会立即停止相关支付服务。对于商户涉及虚拟货币交易的,会坚决予以清退;对个人账户涉嫌虚拟货币交易的,根据情节采取限制账户收款功能,甚至永久限制收款等处理措施。
昨日报道,币安宣布开通OTC交易功能,币安CEO赵长鹏对此表示,用户很快将能够使用微信和支付宝购买加密货币。本次支付宝的声明疑似是对此事的回应。[2019/10/10]
主要攻击的6笔交易如下:
1.攻击者通过杠杆不断借款,最终获得cySUSD。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
分析 | 数字虚拟币交易升温 “匿影”挖矿木马再度活跃:4月12日,腾讯御见发文称,近期数字加密货币市场有所回暖,挖矿木马正在重新变得活跃。最新的监测又有新发现:”匿影”挖矿木马已于近期升级,木马团伙更新多个域名、简化攻击流程、启用最新的挖矿账户挖PASC币。“匿影”挖矿木马通过多个网盘和图床隐藏自身,使用NSA武器库的多个攻击工具(如,永恒之蓝)在局域网内主动横向传播。 “匿影”挖矿木马挖取PASC币(pascal coin),与其他数字加密货币不同的是,其他币种会把币存在钱包上,而PASC币引入了账号的概念叫PASA,而账号是通过挖矿产生的,每发掘一个区块则会产生5个账号,币就存放在第一个账号上面,账号序号是从0开始的,PASC币总计发行21144600枚。当前PASC价格只有0.3美元,相比最高时的5.63美元,已经跌去95%,如果不是本次币圈再次升温,说不定已化身归零币。[2019/4/12]
声音 | 李笑来:早就决定长期持有虚拟币 也转不了行:李笑来在微博称:之前我说过,“我准备花几年时间认真转行。至于下一步干什么,没想好呢。” 我做过老师,后来转行了;做过作者,这事儿转不了行;做过投资,这事儿也转不了行(个人不再投资是因为我成立了机构);持有虚拟币并早就决定长期持有,所以也转不了行。[2018/11/20]
2.攻击者继续进行借款并获得cySUSD。
https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4
3.攻击者借出180万USDC,之后通过Curve.fi将USDC兑换为sUSD,最终获得cySUSD,并继续利用杠杆翻倍借款sUSD。最后偿还闪电贷。
https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9
4.攻击者继续借出1000万USDC,通过兑换等操作获取cySUSD,并继续利用杠杆翻倍借款sUSD,最后偿还闪电贷。
https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e
5.攻击者再次借出1000万USDC,通过兑换等操作获取cySUSD,最后归还闪电贷。
https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57
6.攻击者利用自己得到的大量cySUSD资产,从Cream.Finance中借出多个数字资产,完成攻击获利。
https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b
总结
本次盗币是攻击者利用零抵押跨协议贷款的缺陷进行漏洞攻击,通过不断的利用杠杆来增加借款的金额,增加流动性,兑换为cySUDC,并通过多次操作获取大量cySUDC从而最终借出自己想要的资产。
安全建议
DeFi今年确实备受关注,黑客攻击也不断发生,类似CreamFinance这样的项目,包括creamfinance,alphafinance均受到不同程度的黑客攻击。针对频频发生的黑客攻击事件,我们给出的安全建议就是:
在项目上线之前,找专业的第三方安全企业进行全面的安全审计,而且可以找多家进行交叉审计;
可以发布漏洞赏金计划,发送社区白帽子帮助找问题,先于黑客找到漏洞;
加强对项目的安全监测和预警,尽量做到在黑客发动攻击之前发布预警从而保护项目安全。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。