快捷搜索:

一文回顾Cream失窃始末

参考链接:

1. https://以太币erscan.io/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

2. https://以太币erscan.io/tx/0xc60bc6ab561af2a19ebc9e57b44b21774e489bb07f75cb367d69841b372fe896

3. https://以太币erscan.io/tx/0x10d974ad608ea310a179cff2336ddddac980c83f62247c25db92f3b314765b0c

2月13日,正在Yearn开创者Andre Cronje与Cream开创者Jeffrey Huang在ClubHouse闲聊之际,攻击者(地址0x905315602Ed9a854e325F692FF82F58799BEaB57)已经悄然借助Cream的0抵押借贷银行Iron Bank的方案漏洞盗取了约3750万USD的资产。

下面大家容易回顾黑客攻击的有关细则。

1. 攻击者用去中心化的金融杠杆挖矿协议Alpha Homora V2从Iron Bank借入s美元,且每次借款量是前一次的2倍。

2. 攻击者将借出的s美元再存入Iron Bank,获得cyS美元。

3. 攻击者从Aave V2借入价值180万USD的美元C后,通过Curve将美元C兑换为s美元。

4. 将兑换的s美元存入Iron Bank,并重复过程2。其中,部分s美元用于偿还闪电贷。

5. 与此同时,攻击者第三借入1000万枚美元的闪电贷用于积累cyS美元的数目。

6. 积累了数十亿的cyS美元的攻击者可以向Iron Bank借入任意金额的任意资产。

7. 随后,攻击者向Iron Bank借入13244枚W以太币、360万枚美元C、560万枚泰达币与420万枚D人工智能。

8. 失窃资金流向:被借出的稳定币被攻击者存入Aave V2 ;1000枚以太币转入Iron Bank的开发者竞价推广账户、1000枚以太币转入Alpha.Finance的开发者竞价推广账户;220枚以太币存入去中心化的金融混币协议Tornado.Cash;100枚以太币通过Gitcoin Grants捐赠给Tornado.Cash;其余11000枚以太币未转移。

截至现在,Cream官方表示,其合约与(借贷)市场运作正常,V1与V2版本均已重新启用。

版权保护: 本文由 中金网 原创,转载请保留链接: http://www.yuxinrui.com//news/101.html

您可能还会对下面的文章感兴趣: