ETH:Cream Finance重入漏洞事件分析-ODAILY_TRANS价格

作者：

时间：

前言

8月30日，知道创宇区块链安全实验室监测到以太坊上的DeFi协议CreamFinance遭遇重入漏洞袭击，损失超1800万美元。实验室第一时间跟踪本次事件并分析。

涉及对象

攻击涉及合约地址：

0x38c40427efbaae566407e4cde2a91947df0bd22b

0x0ec306d7634314d35139d1df4a630d829475a125

SuperDuperSecret Co.完成超100万美元种子轮融资:金色财经报道，区块链游戏开发公司SuperDuperSecret Co.宣布已完成超100万美元种子轮融资，Round 13 Digital Asset Fund、Merit Circle、Polygon、Solana、Overwolf、Big Brain Holdings、LD Capital、Sebastian Borget、Gabi Dijon和Christian Mane等参投。该公司正在开发一款“大逃杀”类型的国际象棋游戏“Royale Chess”，SuperDuperSecret会为新用户创建一个匿名托管钱包，并存储用户在游戏生命周期内积累的所有资产并可通过区块链获得所有权。（cryptosaurus）[2023/4/22 14:19:24]

受害涉及合约地址：

iceCREAM第一阶段上线，原CREAM现仅有抵押功能:yearn.finance创始人Andre Cronje公布此前其为Cream Finance社区提出的新代币经济设计提案进展，目前新代币经济的第一阶段已集成并上线。第一阶段用户可通过质押CREAM获得iceCREAM（Vested CREAM），另外，协议费用和投票权也会分配给iceCREAM持有者。

新代币经济模型的变化包括：iceCREAM成为新的治理代币，1枚iceCREAM相当于1个投票，但不能转账且不可交易，原CREAM代币的抵押用例不变，但没有投票权，不过将CREAM锁定在长期质押计划中的CREAM Finance早期支持者目前仍然有权与iceCREAM持有者一起进行治理。另外，预计在第二阶段中，iceCREAM持有者可治理决定释放量。[2021/8/15 22:14:59]

CErc20Delegator：0x2db6c82ce72c8d7d770ba1b5f5ed0b6e075066d6

Plasm和Secret Network发布桥接MVP版本:金色财经报道，Plasm Network和Secret Network这两个分别基于Polkadot和Cosmos的项目已经启动了连接两个生态系统的桥接的第一次迭代（最小化可行产品），每个网桥代表一个不同的“第0层”协议。该桥接于周二部署在Plasm的测试网上，允许用户在Plasm和Secret之间转移资产，从而使用户享受交易隐私并使用SecretSwap，即Secret上的第一个自动做市商交易所。[2021/4/14 20:16:16]

CEther：0xd06527d5e56a3495252a528c4987003b712860ee

抵押借贷平台Cream Finance已添加xSUSHI作为抵押品:抵押借贷平台Cream Finance今日发推称，已在C.R.E.A.M.以太坊平台上发布了xSUSHI。用户现在可以在app上借贷XSUSHI。注，xSUSHI是SUSHI代币的Wrapped版本。[2021/2/6 19:04:49]

Amp：0xff20817765cb7f73d4bde2e66e067e58d11095c2

简述攻击流程

首先黑客通过合约0x38c4进行闪电贷借出启动资金500ETH