第三次被盗:Cream Finance 疑存在漏洞,价值1.3亿美元的密币失窃
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
今天早些时候,两家区块链安全公司 PeckShield 和 SlowMist 检测发现,去中心化金融 (DeFi) 平台Cream Finance的租赁系统中疑似存在漏洞,黑客利用该漏洞窃取了价值1.3亿美元的密币资产。Cream Finance 平台已确认攻击属实。
BlockSec 公司的研究人员分析认为,黑客应该是在Cream Finance 平台借款系统“闪贷 (flash loaning)” 上发现了一个漏洞,并利用该漏洞窃取该平台在以太坊区块链上运行的所有资产和令牌。
SlowMist 团队对被盗资金的划分如下:
攻击发生约6小时后,Cream Finance 平台表示在密币平台 Yearn 的协助下已修复该漏洞。虽然已识别出攻击者的钱包,但其中的资金已被转移到新账户,因此被盗密币追回来的可能性较小。
三次被盗
这是 Cream Finance 平台今年第三次被盗,该平台曾在2月份和8月份分别失窃价值3700万美元和2900万美元的密币。
所有的攻击都是通过闪贷 exploit 完成的,两年来多数 DeFi 平台常常被这种方法遭入侵。2021年,DeFi 被黑事件占所有重大攻击事件的76%,用户损失超过4.74亿美元;2020年这一比例是21%,而在2019年几乎不存在被盗情况。
Cream Finance 攻击事件是今年发生的第二大密币入侵事件,第一大是8月份 Poly Network 被盗6亿美元的事件。不过,Poly Network 黑客在得到该平台不会起诉他的承诺后,归还了所有被盗资金。
推荐阅读
GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
关于原型污染漏洞的完整指南
jQuery CVE-2019-11358 原型污染漏洞分析和修复建议
【漏洞预警】jQuery 前端库出现罕见的原型污染漏洞,影响范围广泛(含技术分析)
原文链接
https://therecord.media/hackers-steal-130-million-from-cream-finance-the-companys-3rd-hack-this-year/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
第三次被盗:Cream Finance 疑存在漏洞,价值1.3亿美元的密币失窃相关推荐
- Cream Finance 重入漏洞事件分析
前言 8 月 30 日,知道创宇区块链安全实验室 监测到以太坊上的 DeFi 协议 Cream Finance 遭遇重入漏洞袭击,损失超 1800 万美元.实验室第一时间跟踪本次事件并分析. 涉及对象 ...
- Solana 区块链平台疑遭供应链攻击,价值数百万美元的密币遭洗劫
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- Cream Finance关于提高三个v2 yVaults的质押系数的提案已经完成
4月30日,Cream Finance关于提高三个v2 yVaults的质押系数的提案已经完成,向yvCurve-IronBank,yvCurve-stETH或yvCurve-sETH借款的质押率最高 ...
- Cream Finance已批准将BAC作为抵押资产
算法稳定币项目Basis Cash官方发文公布项目进展称,抵押借贷平台Cream Finance已批准将BAC作为抵押资产,目前正在等待实施. 文章链接:https://www.tuoluocaiji ...
- 零时科技 | Cream Finance协议遭黑客闪电攻击事件分析
事件背景 Cream Finance是建立在智能合约基础上的开放普惠的金融体系.通过以方便快捷的方式在线提供消费贷款,是一个利用流动性挖矿的去中心化借贷和交易平台. 北京时间2020年2月13日,Cr ...
- 三天竟然爆发两起大漏洞事件!我们来教你如何跳过以太坊的坑
三天竟然爆发两起大漏洞事件!我们来教你如何跳过以太坊的坑 2018年04月26日 00:00:00 阅读数:1314 "现在进入你还是先行者,最后观望者进场才是韭菜."美图董事长蔡 ...
- 疑似流氓软件? 价值4000万的过滤软件绿坝分析报告
开场白就免了,直接进入正题. 这价值4000万的神秘软件究竟是个什么样,让我们看看. 软件版本为3.17 绿坝采用打包式安装程序,安装程序的EXE文件被执行之后,会在temp目录下 随机生成临时文件夹 ...
- 华为云FusionInsight连续三次获得第一 加速释放数据要素价值
近日,IDC发布<中国大数据平台市场研究报告,2021 H1>,华为云FusionInsight智能数据湖已连续三次获得大数据平台市场份额第一.基于超过10年服务于政务.金融.运营商.大企 ...
- Coinbase 现“市场核弹级”漏洞,颁发25万美元奖励
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 密币交易平台 Coinbase 将其史上最大的漏洞奖励25万美元发给发现可使用户出售他人比特币的"市场核弹级"漏洞. Coi ...
最新文章
- QQ拼音在中文输入下默认英文标点
- 跟我学交换机配置(四)
- 新建ROS工作工作空间
- iOS开发OC基础:Xcode中常见英文总结,OC常见英文错误
- 多彩浏览器win10版 隐私声明
- Android反编译apk并重新打包签名(Mac环境)
- java+++多数据源配置,Spring Cloud + Mybatis 多数据源配置
- 智能驾驶继续突破,国内国外技术进入深水区
- codesoft各个版本的 dll_win10安装pytorch-gpu版本
- php 系统日志,PHP中把错误日志保存在系统日志中(Windows系统)
- python写一个类_python3学习笔记--002--写一个类
- [原创]《敏捷软件测试:测试人员与敏捷团队的实践指南》一书思维图初稿版...
- SentinelResource注解配置中_客户自定义限流处理_削峰填谷_流量控制_速率控制_服务熔断_服务降级---微服务升级_SpringCloud Alibaba工作笔记0046
- wxpython安装_Mac RobotFramework 安装
- 从根儿上解决Word中标题多级标题编号不联动问题
- cactiEZ 配置
- 原 Android studio下的DNK开发JNI详解流程
- kubernetes部署nfs持久存储(静态和动态)
- org.apache.flume.conf.ConfigurationException: Channel c1 not in active set.
- 程序员职场起点6要素 前辈们那些经历告诉你