• 【超完整懶人包】認識比特幣!原理與應用全面解析|動區新手村
  • Account
  • Account
  • BlockTempo Beginner – 動區新手村
  • Change Password
  • Forgot Password?
  • Home 3
  • Login
  • Login
  • Logout
  • Members
  • Password Reset
  • Register
  • Register
  • Reset Password
  • User
  • 不只加密貨幣,談談那些你不知道的區塊鏈應用|動區新手村
  • 動區動趨 BlockTempo – 最有影響力的區塊鏈新聞媒體 (比特幣, 加密貨幣)
  • 所有文章
  • 最完整的「區塊鏈入門懶人包」|動區新手村
  • 服務條款 (Terms of Use)
  • 關於 BlockTempo
  • 隱私政策政策頁面 / Privacy Policy
動區動趨-最具影響力的區塊鏈新聞媒體
  • 所有文章
  • 搶先看
  • 🔥動區專題
  • 🔥Tempo 30 Award
  • 加密貨幣市場
    • 市場分析
    • 交易所
    • 投資分析
    • 創投
    • RootData
  • 區塊鏈商業應用
    • 金融市場
    • 銀行
    • 錢包
    • 支付
    • defi
    • 區塊鏈平台
    • 挖礦
    • 供應鏈
    • 遊戲
    • dApps
  • 技術
    • 比特幣
    • 以太坊
    • 分散式帳本技術
    • 其他幣別
    • 數據報告
      • 私人機構報告
      • 評級報告
  • 法規
    • 央行
    • 管制
    • 犯罪
    • 稅務
  • 區塊鏈新手教學
  • 人物專訪
    • 獨立觀點
  • 懶人包
    • 比特幣概念入門
    • 從零開始認識區塊鏈
    • 區塊鏈應用
  • 登入
No Result
View All Result
  • 所有文章
  • 搶先看
  • 🔥動區專題
  • 🔥Tempo 30 Award
  • 加密貨幣市場
    • 市場分析
    • 交易所
    • 投資分析
    • 創投
    • RootData
  • 區塊鏈商業應用
    • 金融市場
    • 銀行
    • 錢包
    • 支付
    • defi
    • 區塊鏈平台
    • 挖礦
    • 供應鏈
    • 遊戲
    • dApps
  • 技術
    • 比特幣
    • 以太坊
    • 分散式帳本技術
    • 其他幣別
    • 數據報告
      • 私人機構報告
      • 評級報告
  • 法規
    • 央行
    • 管制
    • 犯罪
    • 稅務
  • 區塊鏈新手教學
  • 人物專訪
    • 獨立觀點
  • 懶人包
    • 比特幣概念入門
    • 從零開始認識區塊鏈
    • 區塊鏈應用
  • 登入
No Result
View All Result
動區動趨-最具影響力的區塊鏈新聞媒體
No Result
View All Result
Home 區塊鏈商業應用 defi

資安專欄|Cream& Alpha Finance被駭經過梳理,共損失13,244枚ETH

慢霧科技 Slow Mist by 慢霧科技 Slow Mist
2021-02-17
in defi, 安全
A A
資安專欄|Cream& Alpha Finance被駭經過梳理,共損失13,244枚ETH
120
SHARES
分享至Facebook分享至Twitter

據動區先前報導,2021 年 2 月 13 日,以太坊 DeFi Alpha Finance 遭受攻擊,本文由動區專欄作者 慢霧 安全團隊跟進分析、撰寫,分享給大家供大家研究。
(前情提要:事件始末 | 黃立成旗下 Defi 新創Cream.Finance遭閃電貸攻擊,駭客得手近 10億台幣)
(背景補充:麻吉大哥興奮宣布:YFI跟Cream合併!共造Cream V2,Yearn Finance宇宙漸成型?)

本文目錄

  • 總結
    • 盤點2020以太坊安全事件:DeFi合約攻擊60逾起,損失高達2.5億美元
    • Pornhub首支援的「加密貨幣 XVG」疑遭51%攻擊!Verge: 駭客未得手、資金一切安全
    • UN | 聯合國報告 : 北韓近 2 年駭客攻擊盜得「3 億美元」,KuCoin 交易所恐為受害者

 

首先,攻擊者用一部分的 WETH 在 Uniswap WETH-UNI 池子上添加流動性,再把一部分的 WETH 兌換成 sUSD 並在 Cream 中添加流動性獲得 cySUSD 憑證。

接著,攻擊者通過 Alpha Homora V2 從 IronBank 借出 sUSD,並將 LP 抵押到 WERC20 中為後面開槓桿做準備。攻擊者再通過Alpha Homora V2 將借出的 sUSD 歸還給IronBank。

上面幾步似乎只是試探。

隨後攻擊者開始利用 Alpha Homora V2 的槓桿借貸從 IronBank 中循環借出 sUSD,每次借出數量都是上一次的一倍,最後將借出的 sUSD 再轉到 Cream 中添加流動性獲得 cySUSD 憑證。

之後攻擊者不滿足於這種低效的槓桿循環借貸疊 cySUSD 的方式,開始使用閃電貸加快速度。

延伸閱讀:YFI遭駭!聚合挖礦協議Yearn Finance疑似遭「閃電貸」攻擊,損失1,100萬鎂

攻擊者開始從 AAVE 中閃電貸借出180 萬 USDC,並通過 Curve 將 USDC 兌換成 sUSD,這時候攻擊者就拿到了大量的 sUSD 了。

隨後攻擊者先用 sUSD 到 Cream 中添加流動性,並獲得 cySUSD 憑證,再開始繼續使用 Alpha Homora V2 的槓桿借貸從 IronBank 中循環翻倍的借出 sUSD,最後利用借出的 sUSD 去歸還閃電貸

(償還的閃電貸中有包含先前幾步的一部分 sUSD 作為利息,因為最後一步借出的不足以還貸,但都是拿從 Alpha 借的去還的)

重複上一步,閃電貸借出 1000 萬 USDC,換成 sUSD,先添加在 Cream 中,添加 9,668,335 的流動性拿到 cySUSD,再繼續槓桿借貸,最後翻倍到 10,088,930 應該基本把池子借空了。然後開始重複添加流動性,獲取 cySUSD。最後再去歸還閃電貸。

再閃電貸借出 1,000 萬,再重複添加流動性與借貸,獲取 cySUSD 並歸還閃電貸。

由於經過以上步驟攻擊者已獲得大量 cySUSD,因此攻擊者開始直接在 Cream 借出WETH、USDC、USDT、DAI、sUSD。

總結

攻擊者使用閃電貸到Alpha Finance中進行槓桿借貸,並使用Alpha Finance本身的Cream IronBank額度來歸還閃電貸,在這個過程中攻擊者通過在Cream添加流動性獲得了大量的cySUSD,使攻擊者得以用這些cySUSD在Cream Finance中進行進一步的借貸。由於Alpha Finance的問題,導致了兩個協議同時遭受了損失。

📍相關報導📍

盤點2020以太坊安全事件:DeFi合約攻擊60逾起,損失高達2.5億美元

Pornhub首支援的「加密貨幣 XVG」疑遭51%攻擊!Verge: 駭客未得手、資金一切安全

UN | 聯合國報告 : 北韓近 2 年駭客攻擊盜得「3 億美元」,KuCoin 交易所恐為受害者


讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。

LINE 與 Messenger 不定期為大家服務

加入好友

加入好友

Tags: Cream FinanceDefi閃電貸駭客攻擊


關於我們

動區動趨

為您帶來最即時最全面
區塊鏈世界脈動剖析
之動感新聞站

訂閱我們的最新消息

動區精選-為您整理一週間的國際動態

戰略夥伴

Foresight Ventures Foresight News

主題分類

  • 關於 BlockTempo

動區動趨 BlockTempo © All Rights Reserved.

No Result
View All Result
  • 所有文章
  • 搶先看
  • 市場脈動
  • 商業應用
  • 區塊鏈新手教學
  • 區塊鏈技術
  • 數據洞察
  • 政府法規
  • RootData
  • 登入

動區動趨 BlockTempo © All Rights Reserved.