作者:链捕手
今日中午,DeFi借贷平台CreamFinance遭遇闪电贷攻击,黑客获利4.2亿个AMP、1308个ETH以及少量USDC等稳定币资产,总资产价值超过1800万美元。这已是该项目今年以来第三度遭遇攻击。
据安全分析机构PeckShield分析,本次攻击的漏洞在于AMP代币合约存在可重入漏洞,黑客在借出资产的过程中,可重新借出资产。
具体来说,在第一次攻击交易中,黑客进行了500ETH的闪电贷,并将资金存入作为抵押品,借出了1900万个AMP。随后黑客利用重入漏洞,在AMP代币转移过程中再度借出355个ETH。此后,黑客自行对借款进行了清算。
黑客共计在17个不同的交易中重复上述过程,总共获得5980个ETH。目前全部资金仍存放在黑客地址中,尚无进一步动作。
据了解,CreamFinance是社区发起的去中心化借贷协议,主打中长尾资产,于年初加入YFI生态系统,目前已拓展至以太坊、BSC、Polygon等多个区块链网络。DefiLlama数据显示,CreamFinance目前总锁仓量为16亿美元,在去中心化借贷协议中排名第五。
此前,该项目多次遭遇黑客攻击,目前累计损失金额已超过5600万美元。
今年2月13日,黑客利用AlphaHomoraV2技术漏洞从CreamFinance旗下零抵押跨协议贷款功能IronBank借出ETH、DAI、USDC等资产,导致该项目损失约3800万美元。此后AlphaFinance表示将全额赔付资产。
同月28日,DeFi聚合平台Furucombo遭到严重漏洞攻击,CreamFinance储备金账户受影响,CreamFinance团队随即撤销了所有对外部合约的批准,但仍损失110万美元。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。