黑客第三次攻擊Cream Finance 利用代碼漏洞竊取1.3億美元
黑客利用Cream Finance閃貸系統(tǒng)中的漏洞竊取了價(jià)值約1.3億美元的加密貨幣資產(chǎn)。Cream Finance 表示,被盜資金的價(jià)值估計(jì)約為1.3億美元。這是繼2月和8月發(fā)生的事件后,Cream Finance今年第三次遭到黑客攻擊。
Cream Finance是一個(gè)去中心化金融 (DeFi) 平臺(tái),允許用戶貸款和推測(cè)加密貨幣的價(jià)格變化。
區(qū)塊鏈安全公司PeckShield和SlowMist發(fā)現(xiàn)了該事件,并得到了Cream Finance團(tuán)隊(duì)的證實(shí)。
據(jù)區(qū)塊鏈安全公司BlockSec稱,據(jù)信攻擊者在該平臺(tái)的借貸系統(tǒng)中發(fā)現(xiàn)了一個(gè)安全漏洞,稱為閃貸,并用它來(lái)竊取Cream在以太坊區(qū)塊鏈上運(yùn)行的所有資產(chǎn)和代幣,該公司早些時(shí)候在Twitter上還發(fā)布了安全漏洞相關(guān)信息。
下面提供了被盜資金的明細(xì),由SlowMist團(tuán)隊(duì)提供。
CreamFinance-hack-SlowMist
圖片:SlowMist
在攻擊發(fā)生大約6小時(shí)后,Cream Finance表示,在加密貨幣平臺(tái)e.com的幫助下,已經(jīng)修復(fù)了黑客攻擊中被利用的安全漏洞。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)、國(guó)家漏洞數(shù)據(jù)庫(kù)(NVD)數(shù)據(jù)顯示,90%以上的網(wǎng)絡(luò)安全問(wèn)題是由軟件自身的安全漏洞被利用導(dǎo)致。軟件安全是網(wǎng)絡(luò)安全的基礎(chǔ)組成部分,這也強(qiáng)調(diào)了在軟件開發(fā)過(guò)程中提高軟件自身安全的重要性。
即使攻擊者用于竊取大量資金的初始錢包已被識(shí)別,但資金已經(jīng)轉(zhuǎn)移到新賬戶,而且被盜的加密貨幣被追查并返還給平臺(tái)的可能性很小。
第三次成功入侵
這是Cream Finance在今年第三次遭到黑客攻擊,該公司在2月份和8月份分別損失了3700萬(wàn)美元和2900萬(wàn)美元。
該公司在2月份和8月份分別損失了3700萬(wàn)美元和2900萬(wàn)美元。
Cream盜竊案也是今年第二大加密貨幣黑客襲擊事件,此前DeFi平臺(tái)Poly Network在8月份損失了6億美元。然而,黑客攻擊保利公司的個(gè)人最終在兩周后歸還了所有被盜資金,并承諾公司不會(huì)提起訴訟。
CipherTrace在8月的一份報(bào)告中稱,2021年,與DeFi相關(guān)的黑客攻擊占所有重大黑客攻擊的76%,今年DeFi平臺(tái)遭受的攻擊導(dǎo)致用戶損失超過(guò)4.74億美元。
同樣,CipherTrace在去年的一份報(bào)告中表示,在2020年所有加密貨幣黑客攻擊和資金被盜事件中,DeFi也占了21%,而在一年前,也就是2019年,DeFi幾乎不存在。
閃貸攻擊已經(jīng)成為針對(duì)運(yùn)行DeFi(去中心化金融)平臺(tái)的加密貨幣服務(wù)的常見攻擊,該平臺(tái)允許用戶使用加密貨幣借入或貸款,投機(jī)價(jià)格變化,并從加密貨幣儲(chǔ)蓄類賬戶賺取利息。
閃貸攻擊發(fā)生在黑客從DeFi平臺(tái)(如Akropolis)借出資金,然后利用平臺(tái)代碼中的漏洞逃避貸款機(jī)制,并獲得資金。
安全漏洞不但影響網(wǎng)絡(luò)安全,而且易造成極大經(jīng)濟(jì)損失。在軟件開發(fā)過(guò)程中使用靜態(tài)代碼檢測(cè)工具,可以及時(shí)發(fā)現(xiàn)代碼缺陷、安全缺陷及漏洞,查找已知和未知安全漏洞,便于從開發(fā)階段起提高軟件自身安全性,降低因軟件安全漏洞帶來(lái)的網(wǎng)絡(luò)風(fēng)險(xiǎn)及經(jīng)濟(jì)損失。結(jié)合現(xiàn)有的軟件防御手段,里應(yīng)外合共同提高網(wǎng)絡(luò)安全性。
參讀鏈接:
https://therecord.media/hackers-steal-130-million-from-cream-finance-the-companys-3rd-hack-this-year/