事件配景

Cream Finance是成立在智能合约基本上的开放普惠的金融体系。通过以利便快捷的方法在线提供消费贷款，是一个操作活动性挖矿的去中心化借贷和生意业务平台。

北京时间2020年2月13日，Cream Finance官方推特称呈现黑客盗币事件，并暗示随后会披露裂痕细节。

随后零时科技安详团队立即对该安详事件举办复盘阐明。

事件阐明

通过阐明此事件，该次进攻由0x905315602ed9a854e325f692ff82f58799beab57合约地点完成，今朝该地点已被标志为盗币者地点，并存在多次进攻生意业务，如图：

主要进攻的6笔生意业务如下：

1. 进攻者通过杠杆不绝借钱（每次借钱为前一次的两倍），最终得到cySUSD。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

2. 进攻者继承举办借钱并得到cySUSD（和上次生意业务一样）。

https://cn.etherscan.com/tx/0x64de824a7aa339ff41b1487194ca634a9ce35a32c65f4e78eb3893cc183532a4

3. 进攻者借出180万USDC，之后通过Curve.fi将USDC兑换为sUSD，最终得到cySUSD，并继承操作杠杆翻倍借钱sUSD。最后送还闪电贷。

https://cn.etherscan.com/tx/0x7eb2436eedd39c8865fcc1e51ae4a245e89765f4c64a13200c623f676b3912f9

4.?进攻者继承借出1000万USDC，通过兑换等操纵获取cySUSD，并继承操作杠杆翻倍借钱sUSD，最后送还闪电贷。

https://cn.etherscan.com/tx/0xd7a91172c3fd09acb75a9447189e1178ae70517698f249b84062681f43f0e26e

5. 进攻者再次借出1000万USDC，通过兑换等操纵获取cySUSD，最后偿还闪电贷。（至此进攻者已通过以上生意业务获取大量的cySUSD资产，今朝就可从IronBank借到本身想要的资产）

https://cn.etherscan.com/tx/0xacec6ddb7db4baa66c0fb6289c25a833d93d2d9eb4fbe9a8d8495e5bfa24ba57

6. 进攻者操作本身获得的大量cySUSD资产，从Cream.Finance中借出多个数字资产（13244 WETH，3605354 USDC，5647242 USDT，4263138 DAI）,完成进攻赢利。

https://cn.etherscan.com/tx/0x745ddedf268f60ea4a038991d46b33b7a1d4e5a9ff2767cdba2d3af69f43eb1b

总结

本次盗币是进攻者操作零抵押跨协议贷款的缺陷举办裂痕进攻，通过不绝的操作杠杆来增加借钱的金额，增加活动性，兑换为cySUDC，并通过多次操纵获取大量cySUDC从而最终借出本身想要的资产。

安详发起

DeFi本年确实备受存眷，黑客进攻也不绝产生，雷同Cream Finance这样的项目，包罗cream finance，，alpha finance均受到差异水平的黑客进攻。针对几回产生的黑客进攻事件，我们给出的安详发起就是：

在项目上线之前，找专业的第三方安详企业举办全面的安详审计，并且可以找多家举办交错审计；

可以宣布裂痕赏金打算，发送社区白帽子辅佐找问题，先于黑客找到裂痕；

增强对项目标安详监测和预警，只管做到在黑客动员进攻之前宣布预警从而掩护项目安详。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。