第三次被盗：Cream Finance 疑存在漏洞，价值1.3亿美元的密币失窃

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

BlockSec 公司的研究人员分析认为，黑客应该是在Cream Finance 平台借款系统“闪贷 (flash loaning)” 上发现了一个漏洞，并利用该漏洞窃取该平台在以太坊区块链上运行的所有资产和令牌。

SlowMist 团队对被盗资金的划分如下：

攻击发生约6小时后，Cream Finance 平台表示在密币平台 Yearn 的协助下已修复该漏洞。虽然已识别出攻击者的钱包，但其中的资金已被转移到新账户，因此被盗密币追回来的可能性较小。

这是 Cream Finance 平台今年第三次被盗，该平台曾在2月份和8月份分别失窃价值3700万美元和2900万美元的密币。

所有的攻击都是通过闪贷 exploit 完成的，两年来多数 DeFi 平台常常被这种方法遭入侵。2021年，DeFi 被黑事件占所有重大攻击事件的76%，用户损失超过4.74亿美元；2020年这一比例是21%，而在2019年几乎不存在被盗情况。

Cream Finance 攻击事件是今年发生的第二大密币入侵事件，第一大是8月份 Poly Network 被盗6亿美元的事件。不过，Poly Network 黑客在得到该平台不会起诉他的承诺后，归还了所有被盗资金。