Cream Finance第三度遭閃電貸攻擊、損失 1.3 億美元，駭客留下神秘訊息

由麻吉大哥黃立成創辦的台灣去中心化（DeFi）借貸平台 Cream Finance 昨晚遭遇閃電貸駭客攻擊，損失 1.3 億美元，駭客還透過區塊鏈留下奇怪的訊息。這是 Cream Finance 今年第三度成為閃電貸駭客攻擊的受害者。
（前情提要：Cream Finance 宣布配置協議費用 20% 「用於還款」、向駭客喊話祭漏洞賞金）
（前情提要：台灣Defi | Cream Finance再遭閃電貸駭客攻擊，損失1,800萬美元的 ETH, AMP）

本文目錄

台灣去中心化（DeFi）借貸平台 Cream Finance 今日在推特上表示，其以太坊 CREAM v1 借貸市場在 10 月 27 日 UTC 時間 13 時 54 分（台北時間 27 日晚間 9 時 54 分）遭遇駭客攻擊，攻擊者盜走價值約 1.3 億美元的加密貨幣，沒有其他市場受到影響。

Our Ethereum C.R.E.A.M. v1 lending markets were exploited and liquidity was removed on October 27, 1354 UTC. The attacker removed a total of ~$130m USD worth of tokens from these markets, using this address: https://t.co/17sPIDpCmr
No other markets were impacted.

— Cream Finance 🍦 (@CreamdotFinance) October 27, 2021

Cream Finance 進一步表示：

在 Yearn finance 、社群的其他人等朋友的幫助下，我們得以識別漏洞並修補它們。
與此同時，我們已暫停了以太坊上的 v1 借貸市場，並且正在進行事後審查。

對於這次不幸的事件，我們向我們的用戶和社群道歉，並感謝您的支持。

We apologize to our users and community for this unfortunate incident and thank you for your support.

— Cream Finance 🍦 (@CreamdotFinance) October 27, 2021

史上第三大 DeFi 駭客攻擊案

針對此次攻擊得以成功的原因，區塊鏈安全公司 PeckShied 在推特上表示，是因為 Cream Finance 的預言機有價格操弄漏洞，使得幾乎所有借貸池中的資金能夠被直接借走。

PeckShied 進一步指出，用來發動此次攻擊的初始資金，是透過混幣協議 TornadoCash 提出，駭客並將獲得的贓款轉移至 0x24354D31bC9D90F62FE5f2454709C32049cf866b ，而駭客還持續從 ParaSwap 與 Uniswap 中兌幣，PeckShied 正在積極監控此地址的任何動向。

延伸閱讀：Poly Network駭客已還所有資金「並公布私鑰」！USDT進解凍程序、USDC恢復

Rekt 數據顯示，這次的駭客攻擊是歷史上規模第三大的 DeFi 駭客攻擊事件，不過其他兩個駭客攻擊事件最後被盜資金都得到返還。

Etherscans 數據顯示，這名尚未確認身份的攻擊者已盜走來自 Cream LP 代幣的大部分資金，並將這些資金轉換成 9200 萬美元的 DAI 、2300 萬美元的 USDC，這些資金已被轉至其他多個錢包當中。

值得注意的是，駭客在區塊鏈上留下了奇怪的訊息。《The Block》解讀，駭客似乎是在對 DeFi 借貸平台 Aave 、 Iron Bank 以及 Cream Finance 做出評論。

駭客留下的訊息是：