Defi Platform Cream Finance 被黑，损失 2900 万美元

Cream Finance 是一种 defi 借贷协议，它已成为黑客攻击的受害者，从其金库中删除了超过 2900 万美元。攻击者利用实现中的一个漏洞将 amp 令牌添加到协议中。这是该平台第二次参与黑客攻击。第一次违规发生在 2 月份，当时 Cream 损失了 3750 万美元。

Cream 协议遭受黑客攻击

Cream协议是一个存在于四个不同链（以太坊、BSC、Polygon 和 Fantom）上的 defi 借贷平台，周一遭到黑客攻击，导致几种加密货币损失 2900 万美元。攻击者利用了将 amp 令牌引入协议所导致的错误。据Peckshield，一个blockchain安全性和数据分析公司，黑客是犯下在短短一个交易，同时存在于放大器货币代码重入错误的优势。

这允许黑客在更新第一次借入之前在转移期间重新借入资产。该漏洞被重复了 17 次，黑客获得了 418,311,571 安培（价值 2510 万美元）和 1,308.09 以太坊（价值 415 万美元）。在包含 amp 代币之前，该平台已经过网络安全研究和咨询公司 Trails Of Bits 的审计。

Cream宣布它通过暂停供应和借用放大器来停止漏洞利用。该协议还告知用户没有其他市场受到影响，并且预计将在稍后提供验尸报告。

不是第一次

这不是 Cream 第一次遭遇黑客攻击事件。不到六个月前，该平台还受到了一次黑客攻击，攻击者可以从中提取 3750 万美元。该黑客使用另一种 defi 协议 Alpha Finance 合约的未发布版本，利用代码中的舍入错误计算和白名单功能。控制资金后，攻击者将它们带到 Tornado.cash，这是一种允许在以太坊进行私人交易的协议。

幸运的是，在第一次黑客攻击期间，没有用户资金受到影响。然而，它表明 defi 环境非常复杂，即使是协议的微小变化（例如添加货币或将另一个平台列入白名单）也会对未来的安全性产生很大影响。