2月13日,Cream.Finance官方發推表示或發現協議潛在漏洞被黑客利用。據Etherscan數據顯示,黑客共盜取13244.63枚ETH。靈踪安全團隊分析發現,造成本次事故的原因是Cream協議新引入的無抵押借貸功能Iron Bank相關合約存在漏洞被黑客利用。 Iron Bank大膽採用了無抵押+白名單方式讓用戶從資金池借款。這種方式一方面提高了資金利用率和靈活度,但另一方面增加了項目借貸的風險敞口,試圖採用部分中心化的方式對沖這類風險。靈踪安全認為由於Iron Bank合約上線時間尚不長,未經過市場檢驗,因此存在較大風險。因此我們提醒所有引用了Cream項目代碼的團隊暫時不要上線Iron Bank功能,加強風險控制。我們後續會發布更進一步的細節。