smallcat748
New member
** Tin tặc khai thác tài chính kem thông qua ba lỗ hổng: Làm thế nào nó xảy ra và phải làm gì **
** tl; dr **
- Tin tặc đã khai thác ba lỗ hổng trong giao thức tài chính kem để rút tài sản trị giá 130 triệu đô la.
- Các lỗ hổng là:
* Hợp đồng thông minh cho phép bất cứ ai tương tác.
* Susd Pool không chính thức ra mắt, nhưng vẫn cho phép các tương tác.
* Cơ chế làm tròn đã bị khai thác, khiến hệ thống vô tình làm tròn số dư cho vay, trả lương và bị lừa dối bởi thủ thuật của hacker.
- Các tin tặc đã sử dụng khoản vay flash để nhân đôi tài sản thế chấp của họ và sau đó rút tiền.
- Kem tài chính đã được khôi phục và người dùng bị ảnh hưởng đã được hoàn trả.
** Giải thích chi tiết **
Vào ngày 3 tháng 8 năm 2021, tin tặc đã khai thác ba lỗ hổng trong giao thức tài chính kem để rút tài sản trị giá 130 triệu đô la.Các lỗ hổng là:
*** Hợp đồng thông minh cho phép bất cứ ai tương tác. ** Giao thức tài chính kem là nền tảng tài chính phi tập trung (DEFI) cho phép người dùng cho vay và vay tài sản tiền điện tử.Giao thức được xây dựng trên blockchain Ethereum và các hợp đồng thông minh của nó có nguồn mở và có thể truy cập công khai.Điều này có nghĩa là bất cứ ai cũng có thể tương tác với các hợp đồng, có thể là một rủi ro bảo mật.
*** SUSD Pool không chính thức ra mắt, nhưng vẫn cho phép các tương tác.Hồ bơi đã không chính thức ra mắt, nhưng vẫn có thể tương tác với nó.Điều này cho phép các tin tặc khai thác lỗ hổng trong mã của nhóm.
*** Cơ chế làm tròn đã bị khai thác, khiến hệ thống vô tình làm tròn số dư cho vay, trả lương và bị lừa bởi thủ thuật của tin tặc. ** Các tin tặc đã sử dụng khoản vay flash để nhân đôi tài sản thế chấp của họ và sau đó rút tiền.Khoản vay Flash là một loại khoản vay được hoàn trả trong cùng một giao dịch.Điều này có nghĩa là các tin tặc đã có thể vay tiền, sử dụng chúng để khai thác lỗ hổng, sau đó trả nợ tất cả trong cùng một giao dịch.
** Làm thế nào vụ hack xảy ra **
Vụ hack bắt đầu với các tin tặc gửi 1.000 KSD vào hồ bơi SUSD về tài chính kem.KSD trị giá 1.000 đô la tại thời điểm đó.Các tin tặc sau đó đã sử dụng một khoản vay flash để vay 100 triệu SUSD.Sau đó, họ đã sử dụng SUSD để mua 100 triệu KSD.Điều này làm tăng giá của KSD và các tin tặc đã có thể bán KSD của họ để kiếm lợi nhuận.
Các tin tặc sau đó đã sử dụng số tiền thu được từ việc bán KSD của họ để trả cho khoản vay Flash.Tuy nhiên, họ đã không trả nợ đầy đủ.Thay vào đó, họ đã hoàn trả khoản vay với 100 triệu SUSD trừ 1 Minisusd.Điều này khiến hệ thống làm tròn số dư cho vay thành 0 và các tin tặc có thể rút 1 minisusd còn lại.
1 minisusd trị giá 130 triệu đô la vào thời điểm đó.Các tin tặc đã có thể rút số tiền này vì nhóm SUSD không chính thức ra mắt và cơ chế làm tròn đã được khai thác.
** Làm gì **
Nếu bạn là người sử dụng tài chính kem, điều quan trọng là phải nhận thức được các lỗ hổng đã được khai thác trong vụ hack gần đây.Bạn nên thực hiện các bước để bảo vệ tài sản của mình, chẳng hạn như:
* Chỉ sử dụng các nền tảng Defi có uy tín.
* Chỉ tương tác với các hợp đồng thông minh đã được kiểm toán bởi một công ty bảo mật có uy tín.
* Hãy nhận biết các rủi ro của các khoản vay Flash và các cơ chế làm tròn.
Nếu bạn có bất kỳ câu hỏi nào về vụ hack gần đây, bạn có thể liên hệ với nhóm Finance Cream trên Twitter hoặc Discord.
**Người giới thiệu**
* [Hack Finance Cream: Chuyện gì đã xảy ra và phải làm gì]
* [Hacker Cream Finance đã khai thác ba lỗ hổng] (https://decrypt.co/77964/cream-finance-hackers-exploited-three-vulnerability)
* [Tài chính kem: Làm thế nào vụ hack $ 130M đã xảy ra] (https://www.theblockcrypto.com/post/91497/cream-finance-130m-hack
=======================================
**Hackers Exploited Cream Finance Through Three Vulnerabilities: How It Happened and What to Do**
**TL;DR**
- Hackers exploited three vulnerabilities in the Cream Finance protocol to drain $130 million worth of assets.
- The vulnerabilities were:
* Smart contract allowed anyone to interact.
* SUSD pool was not officially launched, but still allowed interactions.
* The rounding mechanism was exploited, causing the system to accidentally round the loan balance, pay, and be deceived by the hacker's trick.
- The hackers used a flash loan to double their collateral and then withdraw the funds.
- Cream Finance has since been restored and the affected users have been reimbursed.
**Detailed Explanation**
On August 3, 2021, hackers exploited three vulnerabilities in the Cream Finance protocol to drain $130 million worth of assets. The vulnerabilities were:
* **Smart contract allowed anyone to interact.** The Cream Finance protocol is a decentralized finance (DeFi) platform that allows users to lend and borrow crypto assets. The protocol is built on the Ethereum blockchain, and its smart contracts are open source and publicly accessible. This means that anyone can interact with the contracts, which can be a security risk.
* **SUSD pool was not officially launched, but still allowed interactions.** The SUSD pool on Cream Finance is a lending pool for the stablecoin SUSD. The pool was not officially launched, but it was still possible to interact with it. This allowed the hackers to exploit a vulnerability in the pool's code.
* **The rounding mechanism was exploited, causing the system to accidentally round the loan balance, pay, and be deceived by the hacker's trick.** The hackers used a flash loan to double their collateral and then withdraw the funds. A flash loan is a type of loan that is repaid within the same transaction. This means that the hackers were able to borrow funds, use them to exploit the vulnerability, and then repay the loan all within the same transaction.
**How the Hack Happened**
The hack began with the hackers depositing 1,000 KSD into the SUSD pool on Cream Finance. The KSD was worth $1,000 at the time. The hackers then used a flash loan to borrow 100 million SUSD. They then used the SUSD to purchase 100 million KSD. This increased the price of KSD, and the hackers were able to sell their KSD for a profit.
The hackers then used the proceeds from the sale of their KSD to repay the flash loan. However, they did not repay the loan in full. Instead, they repaid the loan with 100 million SUSD minus 1 minisusd. This caused the system to round the loan balance to 0, and the hackers were able to withdraw the remaining 1 minisusd.
The 1 minisusd was worth $130 million at the time. The hackers were able to withdraw this amount because the SUSD pool was not officially launched and the rounding mechanism was exploited.
**What to Do**
If you are a user of Cream Finance, it is important to be aware of the vulnerabilities that were exploited in the recent hack. You should take steps to protect your assets, such as:
* Only use reputable DeFi platforms.
* Only interact with smart contracts that have been audited by a reputable security firm.
* Be aware of the risks of flash loans and rounding mechanisms.
If you have any questions about the recent hack, you can contact the Cream Finance team on Twitter or Discord.
**References**
* [Cream Finance Hack: What Happened and What to Do](https://www.coindesk.com/cream-finance-hack-what-happened-and-what-to-do)
* [Cream Finance Hackers Exploited Three Vulnerabilities](https://decrypt.co/77964/cream-finance-hackers-exploited-three-vulnerabilities)
* [Cream Finance: How the $130M Hack Happened](https://www.theblockcrypto.com/post/91497/cream-finance-130m-hack
** tl; dr **
- Tin tặc đã khai thác ba lỗ hổng trong giao thức tài chính kem để rút tài sản trị giá 130 triệu đô la.
- Các lỗ hổng là:
* Hợp đồng thông minh cho phép bất cứ ai tương tác.
* Susd Pool không chính thức ra mắt, nhưng vẫn cho phép các tương tác.
* Cơ chế làm tròn đã bị khai thác, khiến hệ thống vô tình làm tròn số dư cho vay, trả lương và bị lừa dối bởi thủ thuật của hacker.
- Các tin tặc đã sử dụng khoản vay flash để nhân đôi tài sản thế chấp của họ và sau đó rút tiền.
- Kem tài chính đã được khôi phục và người dùng bị ảnh hưởng đã được hoàn trả.
** Giải thích chi tiết **
Vào ngày 3 tháng 8 năm 2021, tin tặc đã khai thác ba lỗ hổng trong giao thức tài chính kem để rút tài sản trị giá 130 triệu đô la.Các lỗ hổng là:
*** Hợp đồng thông minh cho phép bất cứ ai tương tác. ** Giao thức tài chính kem là nền tảng tài chính phi tập trung (DEFI) cho phép người dùng cho vay và vay tài sản tiền điện tử.Giao thức được xây dựng trên blockchain Ethereum và các hợp đồng thông minh của nó có nguồn mở và có thể truy cập công khai.Điều này có nghĩa là bất cứ ai cũng có thể tương tác với các hợp đồng, có thể là một rủi ro bảo mật.
*** SUSD Pool không chính thức ra mắt, nhưng vẫn cho phép các tương tác.Hồ bơi đã không chính thức ra mắt, nhưng vẫn có thể tương tác với nó.Điều này cho phép các tin tặc khai thác lỗ hổng trong mã của nhóm.
*** Cơ chế làm tròn đã bị khai thác, khiến hệ thống vô tình làm tròn số dư cho vay, trả lương và bị lừa bởi thủ thuật của tin tặc. ** Các tin tặc đã sử dụng khoản vay flash để nhân đôi tài sản thế chấp của họ và sau đó rút tiền.Khoản vay Flash là một loại khoản vay được hoàn trả trong cùng một giao dịch.Điều này có nghĩa là các tin tặc đã có thể vay tiền, sử dụng chúng để khai thác lỗ hổng, sau đó trả nợ tất cả trong cùng một giao dịch.
** Làm thế nào vụ hack xảy ra **
Vụ hack bắt đầu với các tin tặc gửi 1.000 KSD vào hồ bơi SUSD về tài chính kem.KSD trị giá 1.000 đô la tại thời điểm đó.Các tin tặc sau đó đã sử dụng một khoản vay flash để vay 100 triệu SUSD.Sau đó, họ đã sử dụng SUSD để mua 100 triệu KSD.Điều này làm tăng giá của KSD và các tin tặc đã có thể bán KSD của họ để kiếm lợi nhuận.
Các tin tặc sau đó đã sử dụng số tiền thu được từ việc bán KSD của họ để trả cho khoản vay Flash.Tuy nhiên, họ đã không trả nợ đầy đủ.Thay vào đó, họ đã hoàn trả khoản vay với 100 triệu SUSD trừ 1 Minisusd.Điều này khiến hệ thống làm tròn số dư cho vay thành 0 và các tin tặc có thể rút 1 minisusd còn lại.
1 minisusd trị giá 130 triệu đô la vào thời điểm đó.Các tin tặc đã có thể rút số tiền này vì nhóm SUSD không chính thức ra mắt và cơ chế làm tròn đã được khai thác.
** Làm gì **
Nếu bạn là người sử dụng tài chính kem, điều quan trọng là phải nhận thức được các lỗ hổng đã được khai thác trong vụ hack gần đây.Bạn nên thực hiện các bước để bảo vệ tài sản của mình, chẳng hạn như:
* Chỉ sử dụng các nền tảng Defi có uy tín.
* Chỉ tương tác với các hợp đồng thông minh đã được kiểm toán bởi một công ty bảo mật có uy tín.
* Hãy nhận biết các rủi ro của các khoản vay Flash và các cơ chế làm tròn.
Nếu bạn có bất kỳ câu hỏi nào về vụ hack gần đây, bạn có thể liên hệ với nhóm Finance Cream trên Twitter hoặc Discord.
**Người giới thiệu**
* [Hack Finance Cream: Chuyện gì đã xảy ra và phải làm gì]
* [Hacker Cream Finance đã khai thác ba lỗ hổng] (https://decrypt.co/77964/cream-finance-hackers-exploited-three-vulnerability)
* [Tài chính kem: Làm thế nào vụ hack $ 130M đã xảy ra] (https://www.theblockcrypto.com/post/91497/cream-finance-130m-hack
=======================================
**Hackers Exploited Cream Finance Through Three Vulnerabilities: How It Happened and What to Do**
**TL;DR**
- Hackers exploited three vulnerabilities in the Cream Finance protocol to drain $130 million worth of assets.
- The vulnerabilities were:
* Smart contract allowed anyone to interact.
* SUSD pool was not officially launched, but still allowed interactions.
* The rounding mechanism was exploited, causing the system to accidentally round the loan balance, pay, and be deceived by the hacker's trick.
- The hackers used a flash loan to double their collateral and then withdraw the funds.
- Cream Finance has since been restored and the affected users have been reimbursed.
**Detailed Explanation**
On August 3, 2021, hackers exploited three vulnerabilities in the Cream Finance protocol to drain $130 million worth of assets. The vulnerabilities were:
* **Smart contract allowed anyone to interact.** The Cream Finance protocol is a decentralized finance (DeFi) platform that allows users to lend and borrow crypto assets. The protocol is built on the Ethereum blockchain, and its smart contracts are open source and publicly accessible. This means that anyone can interact with the contracts, which can be a security risk.
* **SUSD pool was not officially launched, but still allowed interactions.** The SUSD pool on Cream Finance is a lending pool for the stablecoin SUSD. The pool was not officially launched, but it was still possible to interact with it. This allowed the hackers to exploit a vulnerability in the pool's code.
* **The rounding mechanism was exploited, causing the system to accidentally round the loan balance, pay, and be deceived by the hacker's trick.** The hackers used a flash loan to double their collateral and then withdraw the funds. A flash loan is a type of loan that is repaid within the same transaction. This means that the hackers were able to borrow funds, use them to exploit the vulnerability, and then repay the loan all within the same transaction.
**How the Hack Happened**
The hack began with the hackers depositing 1,000 KSD into the SUSD pool on Cream Finance. The KSD was worth $1,000 at the time. The hackers then used a flash loan to borrow 100 million SUSD. They then used the SUSD to purchase 100 million KSD. This increased the price of KSD, and the hackers were able to sell their KSD for a profit.
The hackers then used the proceeds from the sale of their KSD to repay the flash loan. However, they did not repay the loan in full. Instead, they repaid the loan with 100 million SUSD minus 1 minisusd. This caused the system to round the loan balance to 0, and the hackers were able to withdraw the remaining 1 minisusd.
The 1 minisusd was worth $130 million at the time. The hackers were able to withdraw this amount because the SUSD pool was not officially launched and the rounding mechanism was exploited.
**What to Do**
If you are a user of Cream Finance, it is important to be aware of the vulnerabilities that were exploited in the recent hack. You should take steps to protect your assets, such as:
* Only use reputable DeFi platforms.
* Only interact with smart contracts that have been audited by a reputable security firm.
* Be aware of the risks of flash loans and rounding mechanisms.
If you have any questions about the recent hack, you can contact the Cream Finance team on Twitter or Discord.
**References**
* [Cream Finance Hack: What Happened and What to Do](https://www.coindesk.com/cream-finance-hack-what-happened-and-what-to-do)
* [Cream Finance Hackers Exploited Three Vulnerabilities](https://decrypt.co/77964/cream-finance-hackers-exploited-three-vulnerabilities)
* [Cream Finance: How the $130M Hack Happened](https://www.theblockcrypto.com/post/91497/cream-finance-130m-hack
