Cream Finance遭黑客盜取約1.17億美元，系今年第五次遭攻擊

作者：谷昱
如果說有哪個DeFi項目最受黑客的"青睞"，那可能就是DeFi借貸項目Cream Finance了。
北京時間今日21:56分左右，Cream Finance再度遭到閃電貸攻擊，黑客從其智能合約中盜取約1.17億美元資產，這也成為該項目今年遭受到五次黑客攻擊。
據Etherscan顯示，該名黑客在21:17分左右從Tornado.Cash轉入約20個ETH到該地址，並在21:56分執行該次攻擊，並陸續從Cream Finance存款合約獲得ETH、xSUSHI、PERP、wNXM、renBTC等50餘項資產，此後陸續又將OGN、FRAX、OCEAN等資產出售為ETH。

目前，Cream Finance網站顯示其以太坊網絡的可借資產數量幾乎完全枯竭，僅剩餘約36萬CREAM與價值數百美元的其它資產。同時，該項目代幣價格快速下跌超30%，最低跌至102.5美元。
目前，Cream Finance官方推特已經回應此事，並表示正在調查以太坊上 CREAM v1 的漏洞攻擊事件，將隨時更新進展。
據了解，Cream Finance是台灣社區發起的去中心化借貸協議，主打中長尾資產，於年初加入YFI生態系統，目前已拓展至以太坊、BSC、Polygon等多個區塊鏈網絡。DefiLlama數據顯示，Cream Finance目前總鎖倉量為15.3億美元，在去中心化借貸協議中排名第六。
此前，Cream Finance已經至少遭到黑客的四次攻擊，這次攻擊也使得該項目成為黑客成功攻擊次數最多的DeFi項目。
今年2月13日，黑客利用Alpha Homora V2技術漏洞從Cream Finance旗下零抵押跨協議貸款功能 Iron Bank借出ETH、DAI、USDC等資產，導致該項目損失約3800萬美元。此後Alpha Finance表示將全額賠付資產。
同月28日，DeFi聚合平台Furucombo遭到嚴重漏洞攻擊，Cream Finance儲備金賬戶受影響，Cream Finance團隊隨即撤銷了所有對外部合約的批准，但仍損失 110 萬美元。
3月15日，Cream Finance域名遭到黑客攻擊，部分用戶會看到網站發起輸入助記詞的請求，很快該項目官方發推提醒用戶不要輸入助記詞，表示其智能合約和用戶資金仍然安全，並在1個小時後宣布重新獲得域名所有權。
8月30日，Cream Finance因可重入漏洞遭遇閃電貸攻擊，黑客獲利4.2億個AMP、1308個ETH以及少量USDC等穩定幣資產，總資產價值超過3400萬美元。
目前，Cream Finance已經引起諸多加密行業人士的批評與嘲諷，"人們仍在使用 CREAM 的事實是我們在這個領域賺錢的原因。"Th Block研究員@Dogetoshi發推稱。