黃立成旗下 Defi新創駭客得手近10億台幣 - 數位貨幣

By Vanessa
at 2021-02-15T15:41

Table of Contents

黃立成旗下 Defi 新創Cream.Finance遭閃電貸攻擊，駭客得手近 10億台幣

沉寂已久的 DeFi 在 2020 年下半年成為焦點，成為許多用戶的新興借貸渠道，然而 Defi
的火熱也引起許多駭客覬覦，導致過去 Defi 合約攻擊頻傳。昨（13）日又再度發生駭客
事件，此次受害者是台灣團隊開發的 Cream Finance 和槓桿流動性挖礦平台 Alpha
Homora。

本次 Cream Finance 和 Alpha Homora 遭遇到的依舊是 Defi 市場常見的「*閃電貸（
Flash loan）」攻擊。

駭客透過整合 Iron Bank 功能的 Alpha Homora 協議借入 sUSD，再將這些資金借給鐵金
庫（Iron Bank）以獲得 cySUSD；並透過 DeFi 借貸協議 Aave 的閃電貸服務為 Iron
Bank 提供流動性，藉此增加其 cySUSD 的持有量。

據以太坊區塊鏈交易紀錄，在此次攻擊中，Cream 和 Alpha Homora 共損失約 13,244 枚
以太幣，價值約 3,750 萬美元。

*閃電貸：是指在一個區塊交易中有效的貸款，如果借款人在交易結束前沒有償還這筆貸
款，那麼閃電貸款就是失敗的，不會被執行。這是因為如果沒有滿足償還條件，區塊鏈不
會執行這筆交易。而閃電貸的資產來自一個公共的智能合約資金池，目前較為知名且流行
的是由 Aave 和 dYdX 提供的資金池。

（2/14 20:00 更新）黃立成針對此事件，獨家回應動區：

「此次駭客事件的起因於 Alpha Homora 的協議漏洞，駭客透過 Alpha 的漏洞獲取大量
sUSD 並在 Iron Bank 上做為抵押物正常借出款項，Cream Finance 作為 Alpha 的合作
夥伴，全力幫助減輕他們的負擔。用戶在 Iron Bank 和 Cream V1 的資產是安全無虞的
，遭駭消息傳出後，資金池擠兌是因用戶恐慌大量提幣，並非是攻擊者盜幣。」

事發經過
台灣時間 2 月 13 日 15:54，去中心化借貸協議 Cream Finance 於推特發文宣布，發現
智能合約的潛在漏洞，並表示正在進行調查。

驚傳遭駭
當日下午 4:57，《The Block》研究員 Igor Igamberdiev 在推特揭露，Cream Finance
已遭駭客攻擊，損失約 3,750 萬美金，並透過 9 篇 Twitter 貼文還原出整個被駭過程
。

Igor Igamberdiev 在推特上整理的詳細攻擊過程（事件發生時間：2:16-30 pm）：

攻擊者使用 Alpha Homora 從 Iron Bank 借入 sUSD，每次借入資金都是上次借款的兩倍
。
攻擊者通過兩筆交易來完成任務，每次將資金借給 Iron Bank 獲得 cySUSD。
在某些時候，攻擊者從 Aave v2 獲得了 180 萬美元的 USDC 閃電貸款，並使用 Curve
將 USDC 換成了 sUSD。
攻擊者把 sUSD 借給 Iron Bank，使得他們可以繼續獲得 cySUSD。
一些 sUSD 用於償還閃電貸款。
接著，1,000 萬美元的閃電貸款被提取，並再將之用於增加 cySUSD 的數量。
最後，攻擊者獲得了數額巨大的 cySUSD ，這讓他們可以從 Iron Bank 借到任何資產。
隨後，攻擊者用得手的 cySUSD，成功借出 2 萬枚 WETH、360 萬枚 USDC 、560 萬枚
USDT、420 萬枚 DAI。
贓款轉移、洗錢、捐款回饋
攻擊者錢包地址數據顯示，駭客於台灣時間下午 2:21 分，便開始透過以太幣隱私交易平
台 Tornado.Cash 進行洗錢，他將其中的 220 ETH 轉入 Tornado 進行混幣交易，將贓款
洗出。

贓款轉移和洗錢資金流向
隨後，駭客回饋給受害事主，各別打了 1000 ETH 至 Cream.Finance 的開發者錢包，和
Alpha Homora Lab 的開發者錢包。

最後還不忘感謝本次使用的以太方洗錢工具 Tornado.Cash，轉了 100 ETH 至 Tornado
的 Gitcoin 專案捐款地址。

官方反應
在遇駭消息傳開半小時後（5:26 pm），Cream Finance 再度發布公告，並稱已經暫停
Iron Bank 的資產借貸服務；然而，根據 Coindesk 消息，該推文於不久後遭到刪除。

截至截稿為止，仍有大約 10,924 ETH 還在駭客的以太坊錢包中，現值約為 2,008 萬美
金。

大約 1.09 萬枚 ETH 仍在攻擊者錢包中，至截稿前價值約 2,008 萬美金。
駭客事件後續（鎖定嫌犯、事後報告）
直至 18:00 左右，Cream 官方發布推特宣告已完成協議檢查，並表示功能已恢復正常，
市場已經重新開放。

晚間 6:26，Alpha Homora 官方也在推特表示 Alpha Homora V2 是上述 Cream
Finance 協議發生問題的原因，平台已經正在處理問題，並已鎖定攻擊嫌疑犯。

直到今（14）日凌晨 3 時，Alpha Homora 終於發布聲明，解釋整件黑客事件。

市場反應
早在駭客事件發生的不久後，幣價進行了反應。據 Trading View 數據，Cream Finance
的治理代幣 Cream 在昨日下午 3 點從最高價 283.6 美金下殺到最低價 171.3 美金，下
跌幅度 39.6%。

目前 Cream 價格已有稍微回升，截稿前報 217.5 美元。

– 圖源：Trading View –
而 Alpha Homora 的原生代幣 Alpha 受影響幅度則相對較小，在昨日下午 5 點從最高價
2.18 美金下殺到最低價 1.71 美金，下跌幅度 20.4%。

目前 Alpha 價格已有稍微回升，截稿前報 1.83 美元。

https://tinyurl.com/y6clyqao

麻吉大哥Defi被駭10億台幣去中心專家怎麼看

--

Tags: 數位貨幣