推特用户josebaredes今日下午发文称，Cream Finance遭遇黑客攻击，看起来他们已经赚到了13,000 ETH（后经多方信息核实大于这一数字，实际上约为3750万美元）。而此时，Yearn创始人Andre Cronje与Cream创始人Jeffrey Huang正在ClubHouse谈笑风生。

Cream Finance官方注意到该事后，紧急发布推文称，我们意识到潜在的漏洞，并正在对此进行调查。这场黑客攻击到底是如何进行的？这场DeFi攻击事件又给我们带来哪些反思呢？

The Block研究分析师 @FrankResearcher在推特分析了Cream Finance推出的零抵押跨协议贷款IronBank被盗约3750万美元资产的过程。

黑客具体攻击操作如下：

1. 攻击者使用Alpha Homora从IronBank借入sUSD，每次新疆矿场借入资金都是上次借款的两倍。

2. 攻击者通过两笔交易来完成任务，每次将资金借给IronBank获得cySUSD。

3. 在某些时候，攻击者从Aave v2获得了180万美元的USDC闪电贷款，并使用Curve将USDC换成了sUSD。

4. 攻击者把sUSD借给IronBank，使得他们可以继续获得cySUSD。

5. 一些sUSD用于偿还闪电贷款。

6. 此外，1000万美元的闪电贷款也被用来增加cySUSD的数量。

7. 最终攻击者获得了数额巨大的cySUSD ，这让他们可以从IronBank借到任何资产。

8. 随后攻击者借到了13.2万枚WETH、360万枚USDC 、560万枚USDT、420万枚DAI。

9. 稳定币已转入Aave v2，随后向 IronBank 部署者转入1000ETH、向Homora部署者转入1000 ETH，向Tornado 转入220ETH 、向Tornado grant转入100ETH，还有大约1.1 万枚ETH在攻击者钱包地址中。

Cream.Finance发现漏洞后，先是发推文“已暂停IronBank的资产借款”，“CREAM v1资金是安全的”，官方不久后将这两条推文全部删除。

接着Cream.Finance再发推文称：对Cream合约和市场已完成调查，目前运行正常。 V1和V2均已重新启用。检查报告随后发布。

在Cream.Finance被黑客攻击后，Alpha Homora V2也遭受攻击。Alpha Finance Lab官方紧急处理，随后发推文称：已收到关于Alpha Homora V2漏洞的通知。官方正与Andre Cronje及Cream.Finance一起研究。与此同时，漏洞已被修复，正在调查被盗资金，且已经锁定主要嫌疑人。官方表示，用户不能从Alpha Homora v2借入更多资金，即没有新的杠杆头寸，只能在现有头寸上借入。V1是安全的，可以运行了。官方正处于高度戒备状态，事后将披露更多细节。

今日DeFi项目漏洞频发，展示出DeFi在迅猛发展背后的问题，或许到了DeFi开发者慢下来思考一下的时候了。在Cream.Finance等DeFi项目被攻击后，神鱼发微博称，以AC（YFI创始人Andre Cronje）为代表的糙快猛的DeFi开发方式，缺乏回归测试，弊端开始显现。值得一提的是，Yearn生态多个项目发生过黑客攻击。其中包括Pickle、SushiSwap、Yearn和今日的Cream。

2月12日，据特拉华州官网显示，灰度投资（Grayscale Investment）除YFI外，还新注册 SNX （Synthetix）、SUSHI （Sushiswap）、STX （Blockstack）和COMP（Compound） 、MKR （MakerDAO）五种信托基金产品，注册时间均为 2 月 10 日。

虽然灰度 CEO 曾表示，注册信托实体并不代表会推出相应产品，请用户谨慎投资。但市场受消息影响异常兴奋，从而促使这些DeFi项目最近两日迅猛上涨，YFI价格更是一度超过BTC。然而，今日的黑客攻击事件，直接影响了市场信心，DeFi龙头领跌，市场似乎一下子冷静了许多。

DeFi的开发类似于乐高积木，其可组合性和可扩展性为区块链行业带来了新的发展空间；但是，DeFi中如果有一块”积木“出现问题，也非常容易引发系统性崩溃，从而为用户带来无法弥补的损失。DeFi行业还很年轻，历经的时间的考验还很短，黑客事件接连发生后，开发者或许也该重新审视一下DeFi带来的危机和机遇，从而打造出真正经得起时间考验的去中心化金融体系。