二級標題

二級標題

Cream Finance到底是如何被攻擊？

The Block研究分析師@FrankResearcher在推特分析了Cream Finance推出的零抵押跨協議貸款IronBank被盜約3750萬美元資產的過程。

黑客具體攻擊操作如下：

1. 攻擊者使用Alpha Homora從IronBank借入sUSD，每次借入資金都是上次借款的兩倍。

2. 攻擊者通過兩筆交易來完成任務，每次將資金借給IronBank獲得cySUSD。

3. 在某些時候，攻擊者從Aave v2獲得了180萬美元的USDC閃電貸款，並使用Curve將USDC換成了sUSD。

4. 攻擊者把sUSD借給IronBank，使得他們可以繼續獲得cySUSD。

5. 一些sUSD用於償還閃電貸款。

6. 此外，1000萬美元的閃電貸款也被用來增加cySUSD的數量。

7. 最終攻擊者獲得了數額巨大的cySUSD ，這讓他們可以從IronBank借到任何資產。

二級標題

二級標題

Cream目前調查進展

Cream.Finance發現漏洞後，先是發推文“已暫停IronBank的資產借款”，“CREAM v1資金是安全的”，官方不久後將這兩條推文全部刪除。

二級標題

二級標題

糙快猛DeFi開發方式帶來的弊端和反思

今日DeFi項目漏洞頻發，展示出DeFi在迅猛發展背後的問題，或許到了DeFi開發者慢下來思考一下的時候了。在Cream.Finance等DeFi項目被攻擊後，神魚發微博稱，以AC（YFI創始人Andre Cronje）為代表的糙快猛的DeFi開發方式，缺乏回歸測試，弊端開始顯現。值得一提的是，Yearn生態多個項目發生過黑客攻擊。其中包括Pickle、SushiSwap、Yearn和今日的Cream。

2月12日，據特拉華州官網顯示，灰度投資（Grayscale Investment）除YFI外，還新註冊SNX （Synthetix）、SUSHI （Sushiswap）、STX （Blockstack）和COMP（Compound） 、MKR （MakerDAO ）五種信託基金產品，註冊時間均為2 月10 日。

雖然灰度CEO 曾表示，註冊信託實體並不代表會推出相應產品，請用戶謹慎投資。但市場受消息影響異常興奮，從而促使這些DeFi項目最近兩日迅猛上漲，YFI價格更是一度超過BTC。然而，今日的黑客攻擊事件，直接影響了市場信心，DeFi龍頭領跌，市場似乎一下子冷靜了許多。

DeFi的開發類似於樂高積木，其可組合性和可擴展性為區塊鏈行業帶來了新的發展空間；但是，DeFi中如果有一塊”積木“出現問題，也非常容易引發系統性崩潰，從而為用戶帶來無法彌補的損失。 DeFi行業還很年輕，歷經的時間的考驗還很短，黑客事件接連發生後，開發者或許也該重新審視一下DeFi帶來的危機和機遇，從而打造出真正經得起時間考驗的去中心化金融體系。