黑客第三次攻擊Cream Finance 利用程式碼漏洞竊取1.3億美元

黑客利用Cream Finance閃貸系統中的漏洞竊取了價值約1.3億美元的加密貨幣資產。Cream Finance 表示，被盜資金的價值估計約為1.3億美元。這是繼2月和8月發生的事件後，Cream Finance今年第三次遭到黑客攻擊。

Cream Finance是一個去中心化金融 (DeFi) 平臺，允許使用者貸款和推測加密貨幣的價格變化。

區塊鏈安全公司PeckShield和SlowMist發現了該事件，並得到了Cream Finance團隊的證實。

據區塊鏈安全公司BlockSec稱，據信攻擊者在該平臺的借貸系統中發現了一個安全漏洞，稱為閃貸，並用它來竊取Cream在以太坊區塊鏈上執行的所有資產和代幣，該公司早些時候在Twitter上還發布了安全漏洞相關資訊。

下面提供了被盜資金的明細，由SlowMist團隊提供。

CreamFinance-hack-SlowMist

圖片：SlowMist

在攻擊發生大約6小時後，Cream Finance表示，在加密貨幣平臺e.com的幫助下，已經修復了黑客攻擊中被利用的安全漏洞。美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD)資料顯示，90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致。軟體安全是網路安全的基礎組成部分，這也強調了在軟體開發過程中提高軟體自身安全的重要性。

即使攻擊者用於竊取大量資金的初始錢包已被識別，但資金已經轉移到新賬戶，而且被盜的加密貨幣被追查並返還給平臺的可能性很小。

第三次成功入侵

這是Cream Finance在今年第三次遭到黑客攻擊，該公司在2月份和8月份分別損失了3700萬美元和2900萬美元。

該公司在2月份和8月份分別損失了3700萬美元和2900萬美元。

Cream盜竊案也是今年第二大加密貨幣黑客襲擊事件，此前DeFi平臺Poly Network在8月份損失了6億美元。然而，黑客攻擊保利公司的個人最終在兩週後歸還了所有被盜資金，並承諾公司不會提起訴訟。

CipherTrace在8月的一份報告中稱，2021年，與DeFi相關的黑客攻擊佔所有重大黑客攻擊的76%，今年DeFi平臺遭受的攻擊導致使用者損失超過4.74億美元。

同樣，CipherTrace在去年的一份報告中表示，在2020年所有加密貨幣黑客攻擊和資金被盜事件中，DeFi也佔了21%，而在一年前，也就是2019年，DeFi幾乎不存在。

閃貸攻擊已經成為針對執行DeFi(去中心化金融)平臺的加密貨幣服務的常見攻擊，該平臺允許使用者使用加密貨幣借入或貸款，投機價格變化，並從加密貨幣儲蓄類賬戶賺取利息。

閃貸攻擊發生在黑客從DeFi平臺(如Akropolis)借出資金，然後利用平臺程式碼中的漏洞逃避貸款機制，並獲得資金。

安全漏洞不但影響網路安全，而且易造成極大經濟損失。在軟體開發過程中使用 靜態程式碼檢測工具，可以及時發現程式碼缺陷、安全缺陷及漏洞，查詢已知和未知安全漏洞，便於從開發階段起提高軟體自身安全性，降低因軟體安全漏洞帶來的網路風險及經濟損失。結合現有的軟體防禦手段，裡應外合共同提高網路安全性。

參讀連結：