快訊｜Cream Finance旗下的Iron Bank驚傳漏洞遭利用！駭客獲利約3700萬美元

2021/2/13

去中心化借貸協議 Cream Finance 的零抵押貸款功能 – Iron Bank 漏洞遭利用，駭客獲利約 3750 萬美元。

內容目錄

Cream Finance 漏洞遭利用

去中心化借貸協議 Cream Finance 於今日下午四點左右，在官方推特發佈推文表示，官方發現了協議的潛在漏洞，目前正在進行調查。

We are aware of a potential exploit and are looking into this. Thank you for your support as we investigate.

— Cream Finance 🍦 (@CreamdotFinance) February 13, 2021

一個 Etherscan 上的交易紀錄可以看出，此次攻擊者瞄準的是 Cream 的協議間的零抵押貸款功能 – Iron Bank。駭客透過這次攻擊獲得了約 3750 萬美元的加密資產。具體來說，攻擊者使用了整合 Iron Banks 功能的 Alpha Homora 協議借入 sUSD，再將這些資金借給 Iron Bank 以獲得 cySUSD，另一方面，攻擊者還從 Aave 那裡透過閃電貸為 Iron Bank 提供流動性，藉此增加其 cySUSD 的持有量，攻擊者此時 cySUSD 的持有量已達到相當誇張的地步，使其能夠向協議借出任何的加密資產。

廣告 - 內文未完請往下捲動

IronBank ($CREAM) was exploited on $37.5M, let’s take a quick look at what happened.👇

1/ Attacker used Alpha Homora for borrowing sUSD from IronBank.
Each time they borrow twice as much as in the previous one.

— Igor Igamberdiev (@FrankResearcher) February 13, 2021

根據交易紀錄顯示，攻擊者共借出了 13,244 WETH、4,263,139 DAI、3,605,354 USDC 和 5,647,242 USDT。

可以在此連結中了解詳情與更新：https://etherscan.io/address/0x905315602ed9a854e325f692ff82f58799beab57

最終，幾乎所有穩定幣都被存進了 Aave，其餘部分資產（約 220 ETH）已發送至以太坊隱私交易平台 Tornado.Cash 進行混幣交易。此外，攻擊者還分別向 Iron Bank 和 Alpha Homora 合約部署地址發送了 1000 ETH，並向 Tornado.cash 發送了 100 ETH的贈款。目前該駭客錢包地址中剩餘 10925 ETH，價值約 2000 萬美元。