在安全性至关重要的 DeFi 领域,流行于互联网的敏捷开发或许并不适用。

原文标题:《Cream Finance 被盗 3750 万美元,糙快猛的 DeFi 开发方式弊端初显》
撰文:二十三画生

推特用户 josebaredes 今日下午发文称,Cream Finance 遭遇黑客攻击,看起来他们已经赚到了 13,000 ETH (后经多方信息核实大于这一数字,实际上约为 3750 万美元)。而此时,Yearn 创始人 Andre Cronje 与 Cream 创始人 Jeffrey Huang 正在 ClubHouse 谈笑风生。

Cream 遭黑损失 3750 万美元,DeFi 糙快猛式开发弊端显现?

Cream Finance 官方注意到该事后,紧急发布推文称,我们意识到潜在的漏洞,并正在对此进行调查。这场黑客攻击到底是如何进行的?这场 DeFi 攻击事件又给我们带来哪些反思呢?

Cream Finance 到底是如何被攻击?

The Block 研究分析师 @FrankResearcher 在推特分析了 Cream Finance 推出的零抵押跨协议贷款 IronBank 被盗约 3750 万美元资产的过程。

Cream 遭黑损失 3750 万美元,DeFi 糙快猛式开发弊端显现?

黑客具体攻击操作如下:

  1. 攻击者使用 Alpha Homora 从 IronBank 借入 sUSD,每次借入资金都是上次借款的两倍。
  2. 攻击者通过两笔交易来完成任务,每次将资金借给 IronBank 获得 cySUSD。
  3. 在某些时候,攻击者从 Aave v2 获得了 180 万美元的 USDC 闪电贷款,并使用 Curve 将 USDC 换成了 sUSD。
  4. 攻击者把 sUSD 借给 IronBank,使得他们可以继续获得 cySUSD。
  5. 一些 sUSD 用于偿还闪电贷款。
  6. 此外,1000 万美元的闪电贷款也被用来增加 cySUSD 的数量。
  7. 最终攻击者获得了数额巨大的 cySUSD ,这让他们可以从 IronBank 借到任何资产。
  8. 随后攻击者借到了 13.2 万枚 WETH、360 万枚 USDC 、560 万枚 USDT、420 万枚 DAI。
  9. 稳定币已转入 Aave v2,随后向 IronBank 部署者转入 1000ETH、向 Homora 部署者转入 1000 ETH,向 Tornado 转入 220ETH 、向 Tornado grant 转入 100ETH,还有大约 1.1 万枚 ETH 在攻击者钱包地址中。

Cream 目前调查进展

Cream.Finance 发现漏洞后,先是发推文「已暂停 IronBank 的资产借款」,「CREAM v1 资金是安全的」,官方不久后将这两条推文全部删除。

Cream 遭黑损失 3750 万美元,DeFi 糙快猛式开发弊端显现?

接着 Cream.Finance 再发推文称:对 Cream 合约和市场已完成调查,目前运行正常。 V1 和 V2 均已重新启用。检查报告随后发布。

Cream 遭黑损失 3750 万美元,DeFi 糙快猛式开发弊端显现?

在 Cream.Finance 被黑客攻击后,Alpha Homora V2 也遭受攻击。Alpha Finance Lab 官方紧急处理,随后发推文称:已收到关于 Alpha Homora V2 漏洞的通知。官方正与 Andre Cronje 及 Cream.Finance 一起研究。与此同时,漏洞已被修复,正在调查被盗资金,且已经锁定主要嫌疑人。官方表示,用户不能从 Alpha Homora v2 借入更多资金,即没有新的杠杆头寸,只能在现有头寸上借入。V1 是安全的,可以运行了。官方正处于高度戒备状态,事后将披露更多细节。

Cream 遭黑损失 3750 万美元,DeFi 糙快猛式开发弊端显现?

糙快猛 DeFi 开发方式带来的弊端和反思

今日 DeFi 项目漏洞频发,展示出 DeFi 在迅猛发展背后的问题,或许到了 DeFi 开发者慢下来思考一下的时候了。在 Cream.Finance 等 DeFi 项目被攻击后,神鱼发微博称,以 AC (YFI 创始人 Andre Cronje)为代表的糙快猛的 DeFi 开发方式,缺乏回归测试,弊端开始显现。值得一提的是,Yearn 生态多个项目发生过黑客攻击。其中包括 Pickle、SushiSwap、Yearn 和今日的 Cream。

Cream 遭黑损失 3750 万美元,DeFi 糙快猛式开发弊端显现?

2 月 12 日,据特拉华州官网显示,灰度投资(Grayscale Investment)除 YFI 外,还新注册 SNX (Synthetix)、SUSHI (Sushiswap)、STX (Blockstack)和 COMP (Compound) 、MKR (MakerDAO)五种信托基金产品,注册时间均为 2 月 10 日。

虽然灰度 CEO 曾表示,注册信托实体并不代表会推出相应产品,请用户谨慎投资。但市场受消息影响异常兴奋,从而促使这些 DeFi 项目最近两日迅猛上涨,YFI 价格更是一度超过 BTC。然而,今日的黑客攻击事件,直接影响了市场信心,DeFi 龙头领跌,市场似乎一下子冷静了许多。

Cream 遭黑损失 3750 万美元,DeFi 糙快猛式开发弊端显现?

DeFi 的开发类似于乐高积木,其可组合性和可扩展性为区块链行业带来了新的发展空间;但是,DeFi 中如果有一块」积木「出现问题,也非常容易引发系统性崩溃,从而为用户带来无法弥补的损失。DeFi 行业还很年轻,历经的时间的考验还很短,黑客事件接连发生后,开发者或许也该重新审视一下 DeFi 带来的危机和机遇,从而打造出真正经得起时间考验的去中心化金融体系。

来源链接:www.odaily.com