Cream Finance因可重入漏洞被盗超1800万美元，系今年第三次遭攻击

作者：链捕手

今日中午，DeFi借贷平台Cream Finance遭遇闪电贷攻击，黑客获利4.2亿个AMP、1308个ETH以及少量USDC等稳定币资产，总资产价值超过1800万美元。这已是该项目今年以来第三度遭遇攻击。

据安全分析机构PeckShield分析，本次攻击的漏洞在于AMP代币合约存在可重入漏洞，黑客在借出资产的过程中，可重新借出资产。

具体来说，在第一次攻击交易中，黑客进行了 500 ETH 的闪电贷，并将资金存入作为抵押品，借出了1900万个 AMP。随后黑客利用重入漏洞，在AMP 代币转移过程中再度借出355 个 ETH 。此后，黑客自行对借款进行了清算。

黑客共计在17 个不同的交易中重复上述过程，总共获得 5980个 ETH（约 1880 万美元）。目前全部资金仍存放在黑客地址中，尚无进一步动作。

据了解，Cream Finance是台湾社区发起的去中心化借贷协议，主打中长尾资产，于年初加入YFI生态系统，目前已拓展至以太坊、BSC、Polygon等多个区块链网络。DefiLlama数据显示，Cream Finance目前总锁仓量为16亿美元，在去中心化借贷协议中排名第五。

此前，该项目多次遭遇黑客攻击，目前累计损失金额已超过5600万美元。

今年2月13日，黑客利用Alpha Homora V2技术漏洞从Cream Finance旗下零抵押跨协议贷款功能 Iron Bank借出ETH、DAI、USDC等资产，导致该项目损失约3800万美元。此后Alpha Finance表示将全额赔付资产。

同月28日，DeFi聚合平台Furucombo遭到严重漏洞攻击，Cream Finance 储备金账户受影响，Cream Finance 团队随即撤销了所有对外部合约的批准，但仍损失 110 万美元。