PeckShield披露Cream Finance攻击事件

PeckShield是一家专业的区块链安全公司，近日发布了一篇关于Cream Finance攻击事件的报告。据PeckShield披露，攻击者成功将10万枚DAI兑换成63.6枚ETH，并且通过对系统的多次攻击，从中获得了约18.8万美元的利润。

攻击手法分析

Cream Finance是一个去中心化的货币市场，供应商可以在该平台上借出数字资产，借款人则可以在该平台上进行抵押贷款。

攻击者通过使用自己的合约，将大量的DAI存入到Cream Finance平台上，然后借入更多的DAI。接着，攻击者使用借入的DAI来购买FlashLoan，并将FlashLoan还回平台。然后，攻击者使用相同的DAI借款进行交易，这时由于对平台产生的借款增加，因此会导致价格波动。攻击者利用价格波动，成功将10万枚DAI兑为63.6枚ETH，并获得了约18.8万美元的利润。

攻击意义和风险分析

该攻击事件引起了大量的市场关注，因为这是目前为止最大的闪电贷攻击事件之一。攻击者成功将借入的DAI利用平台上的价格波动，兑换成了大量的ETH，并获得了高额的利润。

另外，该攻击事件也给其他去中心化的金融平台带来了一定的风险。由于去中心化平台的本质特性，使得这类平台上的攻击风险大大增加，因为攻击者可以利用平台上的漏洞进行攻击，并且可以通过抵押物所在的链来逃避制裁。因此，这也需要该类平台加强安全措施，从而降低这类攻击事件的风险。

Cream Finance的应对措施

在该攻击事件发生后，Cream Finance立即开展了全面的调查和修复工作。平台表示，他们将通过升级平台智能合约的方式，来修复这个漏洞，并且将通过增加安全体系和审计机制来提高平台的安全性和可靠性。

除此之外，Cream Finance还会开展多项具体的应对措施，包括协调支持机构，加强社区交流，完善道德准则以及改进平台安全管理机制等等。这些措施将有助于降低类似攻击事件的风险，并且为用户和社区创造更加安全可靠的金融环境。

结论

由于去中心化的金融平台的本质特性，攻击风险总是存在的。因此，需要该类平台加强安全措施和审计机制，以提高平台的可靠性和安全性，从而为用户和社区创造更加安全和可靠的金融环境。

摘要： 2021年2月12日，DeFi平台Cream Finance被黑客攻击，攻击者利用闪电贷功能将10万枚DAI（价值约200万美元）兑换为63.6枚ETH，造成了较大的损失。经过PeckShield等安全机构的跟踪追踪和分析，发现该攻击使用了所谓的“区块时间差攻击”手法，通过更改交易时间戳，绕过链上的限制，进而实现闪电贷操作。

一、闪电贷功能是什么？ 闪电贷是近年来DeFi领域的一项重要创新，它是一种“无抵押”的贷款形式，借贷双方来自不同的合约，且债务具有自动清算功能，从而极大地提高了资金效率。用户可以在同一区块内将资金用于借贷和交易操作，这极大的提高了闪电贷的使用效率。但是，闪电贷的高效和自动化的同时，也增加了被黑客攻击的风险。

二、Cream Finance闪电贷攻击事件经过 具体来说，攻击者利用闪电贷功能将劫持了价值200万美元的DAI，随后将DAI转换成质押在Aave上的DAI、USDT和USDC。由于这些质押品价格与其实际价值相比存在波动，因此攻击者可以通过这种方式获得收益。攻击结束后，攻击者将获得的63.6枚ETH转移到另一个地址。 PeckShield分析指出，此次攻击的所用手法是“区块时间差攻击”。攻击者将两笔交易的时间戳设置到不同的区块当中，从而可以嵌入更多的闪电贷交易，使网络无法捕捉，并绕过检测及撤销机制，轻松完成了攻击。

三、事件呼吁的防范 在此次事件中，以太坊的链上检测机制并没有起到很大作用。PeckShield表示，目前唯一所能做的是加强KYT（了解客户交易）以及对新攻击模式的及时追踪，同时，加强和DeFi项目开发方的密切合作，推动DeFi生态的安全优化和完善。 同时，针对目前广泛使用的闪电贷功能，DeFi平台需要提高产品的安全性，确保闪电贷功能没有被违规利用，增强应对可能出现的攻击。

四、结语 总的来说，此次攻击展示了DeFi生态中的安全挑战是不可避免的，需要整个社区和行业进行合作，才能解决这些问题，才能让人们对DeFi平台产生更多的信心。