第三次被盗:Cream Finance 疑存在漏洞,价值1.3亿美元的密币失窃
编译:代码卫士
BlockSec 公司的研究人员分析认为,黑客应该是在Cream Finance 平台借款系统“闪贷 (flash loaning)” 上发现了一个漏洞,并利用该漏洞窃取该平台在以太坊区块链上运行的所有资产和令牌。
SlowMist 团队对被盗资金的划分如下:
攻击发生约6小时后,Cream Finance 平台表示在密币平台 Yearn 的协助下已修复该漏洞。虽然已识别出攻击者的钱包,但其中的资金已被转移到新账户,因此被盗密币追回来的可能性较小。
这是 Cream Finance 平台今年第三次被盗,该平台曾在2月份和8月份分别失窃价值3700万美元和2900万美元的密币。
所有的攻击都是通过闪贷 exploit 完成的,两年来多数 DeFi 平台常常被这种方法遭入侵。2021年,DeFi 被黑事件占所有重大攻击事件的76%,用户损失超过4.74亿美元;2020年这一比例是21%,而在2019年几乎不存在被盗情况。
Cream Finance 攻击事件是今年发生的第二大密币入侵事件,第一大是8月份 Poly Network 被盗6亿美元的事件。不过,Poly Network 黑客在得到该平台不会起诉他的承诺后,归还了所有被盗资金。
流行的 NPM 包依赖关系中存在远程代码执行缺陷
关于原型污染漏洞的完整指南
jQuery CVE-2019-11358 原型污染漏洞分析和修复建议
【漏洞预警】jQuery 前端库出现罕见的原型污染漏洞,影响范围广泛(含技术分析)
https://therecord.media/hackers-steal-130-million-from-cream-finance-the-companys-3rd-hack-this-year/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。