Defi Platform Cream Finance 被黑，损失 2900 万美元

据悉，CreamFinance是一种defi借贷协议，它已成为黑客攻击的受害者，该黑客从其金库中删除了超过2900万美元。攻击者利用实现中的一个漏洞将amp令牌添加到协议中。这是该平台第二次参与黑客攻击。第一次违规发生在2月份，当时Cream损失了3750万美元。

Cream协议遭受黑客攻击

Cream协议是一个存在于四个不同链（以太坊、BSC、Polygon和Fantom）上的defi借贷平台，周一遭到黑客攻击，导致几种加密货币损失2900万美元。攻击者利用了将amp令牌引入协议所导致的错误。据Peckshield，一个blockchain安全性和数据分析公司，黑客是犯下在短短一个交易，同时存在于放大器货币代码重入错误的优势。

这允许黑客在更新第一次借入之前在转移期间重新借入资产。该漏洞被重复了17次，黑客获得了418,311,571安培（价值2510万美元）和1,308.09以太坊（价值415万美元）。在包含amp代币之前，该平台已经过网络安全研究和咨询公司TrailsOfBits的审计。

Cream宣布它通过暂停供应和借用放大器来停止漏洞利用。该协议还告知用户没有其他市场受到影响，并且预计将在稍后提供验尸报告。

不是第一次

这不是Cream第一次遭遇黑客攻击事件。不到六个月前，该平台还受到了一次黑客攻击，攻击者可以从中提取3750万美元。该黑客使用另一种defi协议AlphaFinance合约的未发布版本，利用代码中的舍入错误计算和白名单功能。控制资金后，攻击者将它们带到Tornado.cash，这是一种允许在以太坊进行私人交易的协议。

幸运的是，在第一次黑客攻击期间，没有用户资金受到影响。然而，它表明defi环境非常复杂，即使是协议的微小变化（例如添加货币或将另一个平台列入白名单）也会对未来的安全性产生很大影响。