HARE:细节分析：DeFi 平台Cream Finance 再遭攻击，1.3 亿美金被盗

By：Kong@慢雾安全团队

据慢雾区消息，2021年10月27日，CreamFinance再次遭受攻击，损失约1.3亿美金，慢雾安全团队第一时间介入分析，并将简要分析分享如下。

攻击核心

本次攻击的核心在于利用Cream借贷池对抵押物价格获取的缺陷，恶意操控拉高了其抵押物的价格，使得攻击者可以从Cream借贷池借出更多的代币。

攻击细节

首先攻击者从DssFlash中闪电贷借出5亿个DAI，随后将借出的5亿个DAI抵押至yearn的yDAI池中，以获得约4.5亿个yDAI凭证。

随后攻击者将获得的yDAI代币在Curve的yDAI/yUSDC/yUSDT/yTUSD池子中进行单币流动性添加，以获得相应的流动性凭证。紧接着攻击者就将获得的凭证抵押到yUSD池子中以获得yUSD凭证，为后续在CreamcrYUSD借贷池中抵押做准备。

OpenAI的CEO回应马斯克：暂停AI研发的公开信缺少技术细节:金色财经报道，OpenAI的CEO Sam Altman回应：马斯克等人呼吁将AI研发工作暂停六个月的公开信缺乏“技术细节”。我也认为，需要提高AI的安全指导意见。但公开信并非正确的解决之道。

此前消息，马斯克带头签署了一封呼吁暂停人工智能开发6个月的公开信。[2023/4/15 14:05:06]

之后攻击者开始向Cream的crYUSD借贷池中抵押其获得yUSD凭证，为了扩大其抵押规模，攻击者从AAVE闪电贷借出约52.4万个WETH，并将其抵押到Cream的crETH池子中。

攻击者通过在crETH池子中抵押大量ETH，来使得其有足够的借贷能力将crYUSD池子中的yUSD全部借出并重复抵押到crYUSD池子中，随后通过在crYUSD池子中进行循环贷以杠杆的形式扩大了本身在crYUSD池子中yUSD的抵押规模，为后续操控价格获利做准备。

美联储议息会议于今日开始，或将于5月公布缩表细节:5月3日消息，美联储将于今日起进行为期两天的闭门会议，预计届时美联储将公布更多关于如何缩减其9万亿美元资产负债表的相关细节。

此前，美联储临时主席鲍威尔曾在4月由国际货币基金组织(IMF)主持的小组讨论中表示，联邦公开市场委员会(FOMC)正考虑于5月加息50个基点（0.5个百分点）。

据芝商所Fed Watch最新数据显示，交易员们预计美联储5月加息75-100个基点的可能性为98.7%。（Coindesk）[2022/5/4 2:48:23]

随后为了获得yDAI/yUSDC/yUSDT/yTUSD4Pool凭证以操控价格，攻击者用约1,873个ETH从UniswapV3中兑换出约745万个USDC，并通过Curve3Pool将其兑换成DUSD代币约338万个。

接下来攻击者通过获得的DUSD代币从YVaultPeak中赎回yDAI/yUSDC/yUSDT/yTUSD4Pool凭证，并利用此凭证从yUSD池子中取回yDAI/yUSDC/yUSDT/yTUSD代币。

Illuvium确定土地销售细节，将主要采用荷兰式拍卖方式出售:5月2日消息，RPG链游Illuvium称上周理事会通过关于土地出售细节的IIP-20提案，主要将采用荷兰式拍卖方式出售土地，土地共10万块，首次可供出售的土地有2万块，共有5个等级，7个地区。

NFT会在ImmutableX上铸造。首批出售中，等级1至5的土地数量分别有12029、5012、2088、869、2个，等级1至4的土地初始价格分别为2、6、20、80，等级5将通过实时英式拍卖出售。Illuvium将于本周将公布具体的土地销售日期。[2022/5/3 2:46:20]

随后攻击者开始进行此次攻击的关键操作，其将约843万个yDAI/yUSDC/yUSDT/yTUSD代币直接转回yUSD池子中，由于其不是通过正常抵押操作进行抵押的，所以这843万个yDAI/yUSDC/yUSDT/yTUSD代币并没有被单独记账，而是直接分散给了yDAI/yUSDC/yUSDT/yTUSD凭证的持有者，这相当于直接拉高了其share的价格。

在crToken中由于其抵押物价格被恶意拉高了，因此攻击者抵押的大量yUSD可以使其借出更多的资金，最后攻击者将Cream的其他15个池子全部借空。接下来我们跟进Cream的crToken借贷池中具体借贷逻辑。

兰博基尼宣布将推出NFT，未来几周公布拍卖信息等细节:1月19日消息，官方消息，兰博基尼宣布将推出NFT，用户可通过Lamborghini Space Key访问艺术品，这是一个由尚未公开的艺术家开发的独家项目。

据介绍，这件以太空为主题的艺术品的独特之处在于一块先进的碳纤维复合材料，兰博基尼于2019年将样品作为一项合资研究的一部分送往国际空间站。从太空返回后，合成物成为Space Key的一部分。这个独特的物体被限制为五个单元，每个单元都与同一位艺术家的独家数字艺术品相链接，可通过背面的二维码访问。

NFT是与面向企业的白标NFT解决方案NFT PRO?合作开发，Lamborghini Space Key项目的全部细节将在未来几周内公布，包括艺术家的身份和拍卖信息。[2022/1/19 8:58:02]

从cToken合约中我们可以看到，主要借贷检查在borrowAllowed函数中：

我们跟进borrowAllowed函数，可以看到在427行，其会根据getHypotheticalAccountLiquidityInternal函数检查实时状态下的该账户所对应的所有cToken的资产价值总和和借贷的资产价值总和，并通过对比cToken的资产价值和借贷的Token价值和，来判断用户是否还可以继续借贷。

动态 | OKEx官方回应上线USDT交割合约：即将上线USDT保证金合约模拟盘，但具体上线时间及细节暂未确定:金色财经报道，今日据外媒报道，OKEx将于11月6日正式推出USDT期货交易，提供杠杆率高达100倍的线性期货合约。该合约将每日结算，并提供由BTC、EOS、ETH、LTC、BCH、XRP等支持的交易对。就此事金色财经采访OKEx相关人员，OKE官方确认OKEx即将上线USDT保证金合约模拟盘，但具体上线时间及细节暂未确定，请以官方公告为准。[2019/10/29]

我们跟进getHypotheticalAccountLiquidityInternal函数，可以发现对于抵押物的价值获取来自886行的oracle.getUnderlyingPrice。

我们跟进预言机的getUnderlyingPrice函数，可以容易的发现其将通过代币150行的getYvTokenPrice函数进行价格获取。

继续跟进getYvTokenPrice函数，由于yvTokenInfo.version为V2，因此将通过yVault的pricePerShare函数进行价格获取。

跟进pricePerShare可以发现其直接返回了_shareValue作为价格，而_shareValue是通过_totalAssets除合约的总share数量(self.totalSupply)来计算单个share的价格的。因此攻击者只需要操控_totalAssets将其拉高就可以提高单个share的价格从而使得攻击者的抵押物价值变高以借出更多的其他代币。

我们可以查看下_totalAssets是如何获取的，从772行我们可以很清晰的看到，_totalAssets是直接取的当前合约的yDAI/yUSDC/yUSDT/yTUSD代币数量，以及抵押在策略池中的资产数额相加获得的。因此攻击者通过直接往yUSD合约中转入yDAI/yUSDC/yUSDT/yTUSD代币就可以拉高share价格从而完成获利。

通过Ethtx.info可以清晰的看到pricePerShare前后变化：

最后攻击者在借空其他池子后归还了闪电贷获利离场。

总结

本次攻击是典型的利用闪电贷进行价格操控，由于Cream的借贷池在获取yUSD池子share价格时直接使用了其pricePerShare接口，而此接口是通过合约的抵押物余额与策略池抵押资产数额相加除总share数来计算单个share的价格的。因此用户直接往yUSD转入抵押物就可以很容易的拉高单个share价格，最终使得Cream借贷池中抵押物可以借出更多的资金。

附：前两次CreamFinance被黑分析回顾

慢雾：CreamFinance被黑简要分析

标签：USDHARESHARESHAusda币是局吗Frax ShareDibs ShareSHANG

DYDX热门资讯