Cream Financeはハッカーに約1.17億ドルを盗まれ、今年5回目の攻撃を受けた。

著者：谷昱
もし「どのDeFiプロジェクトがハッカーに最も好まれているか」と言われれば、それはDeFi貸付プロジェクトのCream Financeかもしれません。
本日、北京時間の21:56頃、Cream Financeは再びフラッシュローン攻撃を受け、ハッカーはそのスマートコントラクトから約1.17億ドルの資産を盗みました。これで、このプロジェクトは今年5回目のハッカー攻撃を受けたことになります。
Etherscanによると、このハッカーは21:17頃にTornado.Cashから約20ETHをこのアドレスに送金し、21:56に攻撃を実行しました。その後、Cream Financeの預金契約からETH、xSUSHI、PERP、wNXM、renBTCなど50以上の資産を獲得し、さらにOGN、FRAX、OCEANなどの資産をETHに交換しました。

現在、Cream Financeのウェブサイトでは、イーサリアムネットワークの借りられる資産の数量がほぼ完全に枯渇しており、約36万CREAMと数百ドルの他の資産のみが残っています。同時に、このプロジェクトのトークン価格は急速に30％以上下落し、最低102.5ドルまで下がりました。
現在、Cream Financeの公式Twitterはこの件について応答し、イーサリアム上のCREAM v1の脆弱性攻撃事件を調査中であり、進展があれば随時更新すると述べています。
Cream Financeは台湾のコミュニティによって発起された分散型貸付プロトコルで、中長尾資産を主打ちし、年初にYFIエコシステムに参加し、現在はイーサリアム、BSC、Polygonなど複数のブロックチェーンネットワークに拡大しています。DefiLlamaのデータによると、Cream Financeの現在の総ロック量は15.3億ドルで、分散型貸付プロトコルの中で第六位にランクされています。
これまでに、Cream Financeは少なくとも4回のハッカー攻撃を受けており、今回の攻撃によりこのプロジェクトはハッカーによる成功した攻撃回数が最も多いDeFiプロジェクトとなりました。
今年2月13日、ハッカーはAlpha Homora V2の技術的脆弱性を利用して、Cream Financeの無担保クロスプロトコル貸付機能Iron BankからETH、DAI、USDCなどの資産を借り出し、約3800万ドルの損失を引き起こしました。その後、Alpha Financeは資産を全額補償すると発表しました。
同月28日、DeFiアグリゲータープラットフォームFurucomboが深刻な脆弱性攻撃を受け、Cream Financeの準備金口座が影響を受け、Cream Financeチームはすぐにすべての外部契約の承認を取り消しましたが、110万ドルの損失が発生しました。
3月15日、Cream Financeのドメインがハッカーに攻撃され、一部のユーザーはウェブサイトから助記詞の入力を求められるメッセージを見ました。すぐにプロジェクトの公式がユーザーに助記詞を入力しないよう警告し、スマートコントラクトとユーザー資金はまだ安全であると述べ、1時間後にドメインの所有権を再取得したと発表しました。
8月30日、Cream Financeは再入可能性の脆弱性によりフラッシュローン攻撃を受け、ハッカーは4.2億AMP、1308ETH、および少量のUSDCなどの安定コイン資産を獲得し、総資産価値は3400万ドルを超えました。
現在、Cream Financeは多くの暗号業界の人々から批判と嘲笑を受けており、「人々がまだCREAMを使用している事実は、私たちがこの分野で利益を上げている理由です。」とThe Blockの研究者@Dogetoshiがツイートしています。