Cream Finance因可重入漏洞被盜超1800萬美元，系今年第三次遭攻擊

作者：鏈捕手

今日中午，DeFi借貸平台Cream Finance遭遇閃電貸攻擊，黑客獲利4.2億個AMP、1308個ETH以及少量USDC等穩定幣資產，總資產價值超過1800萬美元。這已是該項目今年以來第三度遭遇攻擊。

據安全分析機構PeckShield分析，本次攻擊的漏洞在於AMP代幣合約存在可重入漏洞，黑客在借出資產的過程中，可重新借出資產。

具體來說，在第一次攻擊交易中，黑客進行了 500 ETH 的閃電貸，並將資金存入作為抵押品，借出了1900萬個 AMP。隨後黑客利用重入漏洞，在AMP代幣轉移過程中再度借出355 個 ETH 。此後，黑客自行對借款進行了清算。

黑客共計在17 個不同的交易中重複上述過程，總共獲得 5980個 ETH（約 1880 萬美元）。目前全部資金仍存放在黑客地址中，尚無進一步動作。

據了解，Cream Finance是台灣社區發起的去中心化借貸協議，主打中長尾資產，于年初加入YFI生態系統，目前已拓展至以太坊、BSC、Polygon等多個區塊鏈網絡。DefiLlama數據顯示，Cream Finance目前總鎖倉量為16億美元，在去中心化借貸協議中排名第五。

此前，該項目多次遭遇黑客攻擊，目前累計損失金額已超過5600萬美元。

今年2月13日，黑客利用Alpha Homora V2技術漏洞從Cream Finance旗下零抵押跨協議貸款功能 Iron Bank借出ETH、DAI、USDC等資產，導致該項目損失約3800萬美元。此後Alpha Finance表示將全額賠付資產。

同月28日，DeFi聚合平台Furucombo遭到嚴重漏洞攻擊，Cream Finance儲備金賬戶受影響，Cream Finance 團隊隨即撤銷了所有對外部合約的批准，但仍損失 110 萬美元。