黑客第三次攻击Cream Finance 利用代码漏洞窃取1.3亿美元

中科天齐软件源代码安全检测中心

共 1426字,需浏览 3分钟

 ·

2021-10-29 10:15

黑客利用Cream Finance闪贷系统中的漏洞窃取了价值约1.3亿美元的加密货币资产。Cream Finance 表示,被盗资金的价值估计约为1.3亿美元。这是继2月和8月发生的事件后,Cream Finance今年第三次遭到黑客攻击。

Cream Finance是一个去中心化金融 (DeFi) 平台,允许用户贷款和推测加密货币的价格变化。

区块链安全公司PeckShield和SlowMist发现了该事件,并得到了Cream Finance团队的证实。

据区块链安全公司BlockSec称,据信攻击者在该平台的借贷系统中发现了一个安全漏洞,称为闪贷,并用它来窃取Cream在以太坊区块链上运行的所有资产和代币,该公司早些时候在Twitter上还发布了安全漏洞相关信息。

下面提供了被盗资金的明细,由SlowMist团队提供。

ucNIeTrJou.png

CreamFinance-hack-SlowMist

图片:SlowMist

在攻击发生大约6小时后,Cream Finance表示,在加密货币平台e.com的帮助下,已经修复了黑客攻击中被利用的安全漏洞。美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致。软件安全是网络安全的基础组成部分,这也强调了在软件开发过程中提高软件自身安全的重要性。

即使攻击者用于窃取大量资金的初始钱包已被识别,但资金已经转移到新账户,而且被盗的加密货币被追查并返还给平台的可能性很小。

第三次成功入侵

这是Cream Finance在今年第三次遭到黑客攻击,该公司在2月份和8月份分别损失了3700万美元和2900万美元。

该公司在2月份和8月份分别损失了3700万美元和2900万美元。

Cream盗窃案也是今年第二大加密货币黑客袭击事件,此前DeFi平台Poly Network在8月份损失了6亿美元。然而,黑客攻击保利公司的个人最终在两周后归还了所有被盗资金,并承诺公司不会提起诉讼。

CipherTrace在8月的一份报告中称,2021年,与DeFi相关的黑客攻击占所有重大黑客攻击的76%,今年DeFi平台遭受的攻击导致用户损失超过4.74亿美元。

同样,CipherTrace在去年的一份报告中表示,在2020年所有加密货币黑客攻击和资金被盗事件中,DeFi也占了21%,而在一年前,也就是2019年,DeFi几乎不存在。

闪贷攻击已经成为针对运行DeFi(去中心化金融)平台的加密货币服务的常见攻击,该平台允许用户使用加密货币借入或贷款,投机价格变化,并从加密货币储蓄类账户赚取利息。

闪贷攻击发生在黑客从DeFi平台(如Akropolis)借出资金,然后利用平台代码中的漏洞逃避贷款机制,并获得资金。

安全漏洞不但影响网络安全,而且易造成极大经济损失。在软件开发过程中使用静态代码检测工具,可以及时发现代码缺陷、安全缺陷及漏洞,查找已知和未知安全漏洞,便于从开发阶段起提高软件自身安全性,降低因软件安全漏洞带来的网络风险及经济损失。结合现有的软件防御手段,里应外合共同提高网络安全性。


参读链接:

https://therecord.media/hackers-steal-130-million-from-cream-finance-the-companys-3rd-hack-this-year/

浏览 17
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报