黑客从Cream Finance的DeFi协议中撤回了3750万美元的代币

攻击者利用了Iron Bank DeFi协议（Cream Finance项目的第二版）中的一个漏洞，并撤回了3750万美元的代币。

https://t.co/C8cMhz4dnG

— Cream Finance????（@CreamdotFinance）2021年2月13日

“我们意识到了潜在的漏洞，并正在对其进行研究。 感谢您对我们调查的支持，” Cream Finance的代表写道。

Block分析师Igor Igamberdiev估计，由于漏洞利用，项目损失达3750万美元。 他还概述了黑客行为的顺序。

IronBank（$ CREAM）被3,750万美元利用，让我们快速看一下发生了什么。????1 /攻击者使用Alpha Homora从IronBank借入sUSD。 每次他们借的钱是前一次的两倍。

— Igor Igamberdiev（@FrankResearcher）2021年2月13日

“攻击者使用Alpha Homora服务从IronBank借钱。 每次他借来的钱是前一个案例的两倍。”

2 /他们通过两次交易来完成此任务，每次将资金借给IronBank接收cySUSD。 3 /在某个时候，开发者从Aave v2那里获得了180万美元的USDC紧急贷款，并使用Curve将USDC交换为sUSD。 pic.twitter.com/fSheiqZ6lO

— Igor Igamberdiev（@FrankResearcher）2021年2月13日

他通过两笔交易做到了这一点，每次将资金借给IronBank并收到cySUSD。

在某个时候，攻击者使用Aave平台上的即时贷款获得了180万美元的USDC。 然后他使用Curve将USDC交换为sUSD。”

4 /他们将这些sUSD借给IronBank，这使他们可以继续借入和借入cySUSD。 5 /当然，花了一些新元来偿还速贷。

— Igor Igamberdiev（@FrankResearcher）2021年2月13日

然后，他将sUSD存入IronBank。 这使黑客能够继续借入和借出资金，并在出口处收到cySUSD。

研究人员强调：“当然，其中一些sUSD被用于偿还即时贷款。”

6 /此外，还获得了1000万美元的快速贷款，也用于增加cySUSD的数量。 7 /最后，他们的cySUSD数量达到了令人难以置信的数量，这使他们可以从IronBank借钱。 pic.twitter.com/2UfB1cSu0u

— Igor Igamberdiev（@FrankResearcher）2021年2月13日

“获得了1000万美元的即时贷款，这笔贷款还用于增加sUSD的数量。 最终，cySUSD的使用量达到了如此之高的水平，以至于他可以从IronBank借钱。

8 /然后他们借入：-13.2万ETH-360万美元-560万美元-420万DAI pic.twitter.com/T7VN2S0D0U

— Igor Igamberdiev（@FrankResearcher）2021年2月13日

然后，攻击者借用了：

9 /稳定币已存入Aave v2，向IronBank部署者存入1k ETH，向Homora部署者存入1k ETH，向Tornado存入220 ETH，已向Tornado授与100 ETH，近11k ETH仍留在开发者账户上。 nctC08rg3W pic.twitter.com/MFYWZ46aVi

— Igor Igamberdiev（@FrankResearcher）2021年2月13日

之后，他将稳定币存入了各种服务，包括Aave（v2）和Alpha Homora（1000 ETH）。 攻击者的地址中剩下将近11,000 ETH，他向混合服务Tornado.Cash捐赠了100 ETH，并将1000 ETH发送到了IronBank合同的地址。 在事件发生的背景下，CREAM代币的价格从290美元左右跌至220美元。 提醒一下，2月5日，一个未知的黑客从yEarn.Finance池中撤回了280万美元。 DeFi项目很快就弥补了攻击造成的损失。 订阅ForkLog YouTube频道！

—-

原文链接：https://forklog.com/haker-vyvel-tokeny-na-37-5-mln-iz-defi-protokola-cream-finance/

原文作者：Алекс Кондратюк

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。