Cream finance被盗3750万美元，defi快速粗暴发展模式的弊端开始显现

Twitter用户josebardes今天下午在一篇文章中说，cream-finance遭到了黑客的攻击，他们似乎赚了1.3万ETH（经各方核实，这个数字还不止这个数字，实际上约为3750万美元）。此时，“年度”创始人安德烈·克朗杰和“奶油”创始人杰弗里·黄在俱乐部大厦谈笑风生。

在官方发布事件通知后，奶油金融紧急发布微博称，我们已经意识到潜在的漏洞，正在对其进行调查。这次黑客攻击是如何进行的？这次DEFI攻击给我们带来了什么启示？

奶油金融是如何受到攻击的？

在twitter上，block research分析师@Frank research分析了ironbank大约3750万美元资产的被盗过程，ironbank是cream finance推出的一种零抵押交叉协议贷款。

黑客的具体攻击操作如下：

1攻击者使用alpha homora从ironbank借入ssusd，每次借入的金额是上一次的两倍。

2攻击者通过两次交易完成任务，每次都将资金借给ironbank以获得cysusd。

3在某些情况下，攻击者从AAVE V2获得了180万美元的USDC快速贷款，并使用curve将USDC兑换为SUSD。

4攻击者把苏铁借给了铁银行，这样他们就可以继续得到苏铁。

5一些SUSD用于偿还闪贷。

6此外，一笔1000万美元的闪电贷款被用来增加苏铁的数量。

7最后，攻击者获得了大量的苏铁，这使得他们可以从ironbank借到任何资产。

8随后，攻击者借入13.2万美元、360万美元、560万美元和420万美元。

9稳定币已转移到AAVE V2，然后转移到ironbank deployer 1000 ETH、homora deployer 1000 ETH、tornado 220ETH、tornado grant 100ETH，攻击者的钱包地址中约有11000 ETH。

当前调查进度

奶油。金融发现漏洞后，第一条微博是“铁行资产借款已暂停”和“基金安全”。这位官员很快将这两条微博全部删除。

下一个奶油。金融另一条微博称：关于面霜合约和市场的研究已经完成，目前运行正常。V1和V2都已重新启用。随后公布了检验报告。

留下来奶油。金融在遭到黑客攻击后，alpha homara V2也遭到了攻击。阿尔法金融实验室官方紧急处理，随后发微博称：已收到关于阿尔法霍马拉v2漏洞的通知。官员们正在与安德烈·克朗杰和奶油。金融一起学习。同时，漏洞已经修复，赃款正在调查中，主要嫌疑人已经锁定。这位官员表示，用户无法从alpha homora V2借入更多资金，也就是说，他们没有新的杠杆头寸，只能从现有头寸借入资金。V1是安全的，可以运行。官员们高度戒备，稍后会透露更多细节。

快速WiFi发展模式带来的弊端与思考

如今，DeFi项目频频出现漏洞，这说明了DeFi快速发展背后的问题。也许是时候让DeFi开发者放慢脚步，好好想想了。留下来奶油。金融DeFi项目遭攻击后，申宇微博表示，以AC（yfi创始人安德烈·克朗杰）为代表的DeFi粗糙快速的开发方法缺乏回归测试，其弊端开始显现。值得一提的是，黑客攻击了今年的许多项目。包括腌菜、寿司、年糕和今天的奶油。

2月12日，据特拉华州官方网站消息，除了yfi，grayscale investment还注册了SNx（synthetix）、sushi（sushiswap）、STX（blockstack）、comp（compound）和MKR（makerdao）5款信托基金产品，这些产品均于2月10日注册。

尽管这位CEO曾表示，注册信托实体并不意味着他们会推出相应的产品，所以用户在投资时应该谨慎。然而，这一消息令市场异常兴奋，这两天，这些DeFi项目迅速崛起，yfi的价格一度高于BTC。不过，今天的黑客攻击直接影响了市场信心，市场似乎平静了不少。

DeFi的发展类似于乐高积木，其可组合性和可扩展性为区块链行业带来了新的发展空间；然而，如果DeFi中的某个“积木”出现问题，也很容易造成系统崩溃，从而给用户带来无法弥补的损失。DeFi行业还很年轻，时间的考验还很短。黑客事件接二连三发生后，开发者可能也要重新审视DeFi带来的危机和机遇，从而打造一个名副其实的去中心化金融体系。