去中心化借贷协议Cream Finance 的零抵押贷款功能– Iron Banks 漏洞被利用,黑客获利约3750万美元。
Cream Finance 漏洞被利用
去中心化借贷协议Cream Finance 于今日下午四点左右,在官方推特发布推文表示,官方发现了协议的潜在漏洞,目前正在进行调查。
一个Etherscan 上的交易纪录可以看出,此次攻击者瞄准的是Cream 的协议间的零抵押贷款功能– Iron Bank。黑客透过这次攻击获得了约3750 万美元的加密资产。具体来说,攻击者使用了整合Iron Banks 功能的Alpha Homora 协议借入sUSD,再将这些资金借给Iron Bank 以获得cySUSD,另一方面,攻击者还从Aave 那里透过闪电贷为Iron Bank 提供流动性,借此增加其cySUSD 的持有量,攻击者此时cySUSD 的持有量已达到相当夸张的地步,使其能够向协议借出任何的加密资产。
根据交易纪录显示,攻击者共借出了13,244 WETH、4,263,139 DAI、3,605,354 USDC 和5,647,242 USDT。
最终,几乎所有稳定币都被存进了Aave,其余部分资产(约220 ETH)已发送至以太坊隐私交易平台Tornado.Cash 进行混币交易。此外,攻击者还分别向Iron Bank 和Alpha Homora 合约部署地址发送了1000 ETH,并向Tornado.cash 发送了100 ETH的赠款。目前该黑客钱包地址中剩余10925 ETH,价值约2000 万美元。
官方正在调查中
CREAM 官方承认此事件的发生,并正在调查中。目前协议功能正常。
Yearn 创办人Andre Cronje 以及Yearn 核心团队的Sam Priestley 和Carlos Sessa 给予Iron Bank 很多意见,更重要的是,在社群上推了这个产品一把,在推出时曾引起话题。