黑客第三次攻击Cream Finance 利用代码漏洞窃取1.3亿美元

黑客利用Cream Finance闪贷系统中的漏洞窃取了价值约1.3亿美元的加密货币资产。Cream Finance 表示，被盗资金的价值估计约为1.3亿美元。这是继2月和8月发生的事件后，Cream Finance今年第三次遭到黑客攻击。

Cream Finance是一个去中心化金融 (DeFi) 平台，允许用户贷款和推测加密货币的价格变化。

区块链安全公司PeckShield和SlowMist发现了该事件，并得到了Cream Finance团队的证实。

据区块链安全公司BlockSec称，据信攻击者在该平台的借贷系统中发现了一个安全漏洞，称为闪贷，并用它来窃取Cream在以太坊区块链上运行的所有资产和代币，该公司早些时候在Twitter上还发布了安全漏洞相关信息。

下面提供了被盗资金的明细，由SlowMist团队提供。

CreamFinance-hack-SlowMist

图片：SlowMist

在攻击发生大约6小时后，Cream Finance表示，在加密货币平台e.com的帮助下，已经修复了黑客攻击中被利用的安全漏洞。美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示，90%以上的网络安全问题是由软件自身的安全漏洞被利用导致。软件安全是网络安全的基础组成部分，这也强调了在软件开发过程中提高软件自身安全的重要性。

即使攻击者用于窃取大量资金的初始钱包已被识别，但资金已经转移到新账户，而且被盗的加密货币被追查并返还给平台的可能性很小。

第三次成功入侵

这是Cream Finance在今年第三次遭到黑客攻击，该公司在2月份和8月份分别损失了3700万美元和2900万美元。

该公司在2月份和8月份分别损失了3700万美元和2900万美元。

Cream盗窃案也是今年第二大加密货币黑客袭击事件，此前DeFi平台Poly Network在8月份损失了6亿美元。然而，黑客攻击保利公司的个人最终在两周后归还了所有被盗资金，并承诺公司不会提起诉讼。

CipherTrace在8月的一份报告中称，2021年，与DeFi相关的黑客攻击占所有重大黑客攻击的76%，今年DeFi平台遭受的攻击导致用户损失超过4.74亿美元。

同样，CipherTrace在去年的一份报告中表示，在2020年所有加密货币黑客攻击和资金被盗事件中，DeFi也占了21%，而在一年前，也就是2019年，DeFi几乎不存在。

闪贷攻击已经成为针对运行DeFi(去中心化金融)平台的加密货币服务的常见攻击，该平台允许用户使用加密货币借入或贷款，投机价格变化，并从加密货币储蓄类账户赚取利息。

闪贷攻击发生在黑客从DeFi平台(如Akropolis)借出资金，然后利用平台代码中的漏洞逃避贷款机制，并获得资金。

安全漏洞不但影响网络安全，而且易造成极大经济损失。在软件开发过程中使用静态代码检测工具，可以及时发现代码缺陷、安全缺陷及漏洞，查找已知和未知安全漏洞，便于从开发阶段起提高软件自身安全性，降低因软件安全漏洞带来的网络风险及经济损失。结合现有的软件防御手段，里应外合共同提高网络安全性。

参读链接：

https://therecord.media/hackers-steal-130-million-from-cream-finance-the-companys-3rd-hack-this-year/