攻击者利用Cream Finance漏洞窃取加密货币

由默契大哥黄立成所成立的去中心化金融（Decentralized finance，DeFi）项目Cream Finance，以及Alpha Finance，遭遇有史以来最大的闪电贷（Flash Loan）攻击，造成资金损失估计3,750万美元、相当于超过台币10亿元的规模。

Cream Finance在13日下午出现异常交易记录，当日下午近4点其官方Twitter账号发出推文表示，发现协议的潜在漏洞，并且对此进行调查。

https://twitter.com/CreamdotFinance/status/1360497502881865729

从Etherscan上的交易记录显示，攻击者使用一系列涉及贷款的复杂交易，并利用Alpha Homora V2，从Cream Finance旗下的借贷平台Iron Bank借入sUSD，每次借入资金是前1次的2倍，每次又将资金借给Iron Bank并通过其他手段以获得cySUSD。在获得金额庞大的cySUSD后，攻击者可从Iron Bank借到任何加密资产，随后借到13,244枚WETH以及约360万枚USDC、560万枚USDT、420万枚DAI。

Alpha Finance与Yearn创办人Andre Cronje以及Cream Finance展开合作调查这起事件，不仅锁定主要嫌疑人，并称漏洞已被修复，将寻求补救措施以解决债务。

Dear Alpha community, we’ve been notified of an exploit on Alpha Homora V2. We’re now working with@AndreCronjeTechand@CreamdotFinancetogether on this.

The loophole has been patched.

We’re in the process of investigating the stolen fund, and have a prime suspect already.

—Alpha Finance Lab (@AlphaFinanceLab)February 13, 2021

（首图来源：pixabay）