Cream Finance 攻擊事件分析
创宇区块链安全实验室
2021-10-29 03:45
本文约1323字,阅读全文需要约5分钟
北京時間10月27日晚,以太坊DeFi 協議Cream Finance 再次遭到攻擊,損失高達1.3 億美元。
前言
一級標題前言二級標題二級標題
分析
基礎信息
基礎信息
正文
基礎信息
攻擊合約2:0xf701426b8126BC60530574CEcDCb365D47973284
流程
二級標題
流程
二級標題
流程二級標題
3、flashLoanAAVE() 函數緊接著調用攻擊合約1 0x961D 的0x0ed1ecb1 函數,通過UniswapV3 和Curve 完成WETH => USDC => DUSD 的兌換,通過YVaultPeak 合約用383317 DUSD 贖回了3022172 yUSD,加上第二步攻擊合約2 0xf701 轉來的446758198 yUSD,在ySwap 中贖回約450228633 ySwap Token 憑證。
細節
二級標題
此次攻擊的成因是多維度的,同樣也反映出其他很多問題,比如Cream 協議允許yUSD 的重複循環地存入和借出(Cream 中計入的資產可遠超其實際流通量)、ySwap 的憑證可直接轉給yUSD (導致Cream 中抵押資產價值劇增的直接原因)等等。
總結
一級標題
總結
创宇区块链安全实验室
作者文库
