Cream Finance被盜事件完結,賠償方案引發用戶不滿
Cream Finance被盜事件雖然已基本完結,但事件引發的爭議還在繼續。
10月27日,DeFi借貸協議Cream Finance遭遇攻擊者閃電貸攻擊,致使C.R.E.A.M. Ethereum v1市場丟失價值1.3億美元的Cream LP和其他ERC-20代幣。
Cream Finance稱,此次攻擊混合了經濟攻擊和預言機攻擊,攻擊者從MakerDAO閃電貸出DAI來創建大量yUSD代幣,同時通過操縱多資產流動性池(包括yDAI、yUSDC、yUSDT和yTUSD),利用價格預言機計算yUSD價格,yUSD價格升高後,攻擊者的yUSD頭寸增加,創造了足夠的借入限額來抵消C.R.E.A.M. Ethereum v1市場的絕大部分流動性。被盜關鍵漏洞在於可封裝代幣的價格計算,已經停止了所有可封裝代幣的供應/借貸。
據Rekt數據顯示,Cream Finance價值1.3億美元代幣從金額上看成爲了加密歷史上第三大失竊案,僅次於Poly Network的6.1億美元和Compound的1.47億美元。11月13日,Cream Financ公佈了對受影響用戶的賠償方案,將利用其Treasury的剩餘代幣,並移除項目團隊剩餘的全部Cream代幣分配,向受影響用戶發放1453415枚Cream代幣。
值得注意的是,若受影響用戶成功向Nexus Mutual或Bridge Mutual提出全額保險索賠則沒有資格認領Cream;若獲得部分索賠,可根據剩餘比例認領。不過,此舉卻遭到了部分行業人士的質疑,直言Cream Finance是歷史上最無恥的項目方。
據微博博主“很大很大的橙子”認爲,該被竊案雖然聲稱被盜1.3億美元價值的資產,但是實際損失並不大,該賠償方案利於項目方自身,並不利於賠償者。
“這次1.3億美金的損失,其中有5000-6000萬美金是CRETH2(ETH2.0質押可封裝代幣),而CRETH2的底層資產都鎖在ETH2.0質押合約裡,實際是沒有丟的。這次Cream團隊給的方案是,對於在借貸市場裡面被盜的CRETH2,其對應的質押在ETH2.0合約裡的ETH不還了,只補償一些Cream Token(當前價值大約爲損失總金額的15%)。而對應的質押在ETH2.0合約裡的ETH,就歸團隊所有。還有黑客打還給YEARN的近1000萬美金,YEARN還給了Cream團隊,但是Cream團隊並未還給用戶,只是補償了一些Cream Token。”
很大很大的橙子認爲,本質上是Cream團隊用一些Cream Token換取了用戶真金白銀的ETH以及yCrv(兩者加起來總價值大約6000-7000萬美金),也就是說經過這次黑客盜幣事件,Cream團隊把Cream Token通過OTC出掉了,還賣了個好價錢。
更形象的講,“Cream的事情相當於用戶把錢存銀行(Cream),銀行給了你存摺。然後你的存摺又寄存在銀行,銀行卻給你搞丟了。最後銀行表示因爲存摺丟失用戶的資產無法歸還,但是我可以補給用戶15%本金作爲補償,你看我是不是很善良!”該博主強調。
公開資料顯示,Cream Finance於2020年8月正式上線,分叉於Compound Finance,創始人爲被稱爲“麻吉大哥”的臺灣演員黃立成。
此外,本次被盜也不是Cream Finance第一次失竊,在今年2月和8月其均發生了被盜事件,被盜資金分別爲3750萬美元和1880萬美元。這也使得該項目成爲了今年以來黑客成功攻擊次數最多的DeFi項目。
不過,Oklink數據顯示,截至目前,Cream Finance總鎖倉資金仍高達6.38億美元,近一個月鎖倉量僅下跌7.5%。
值得注意的是,Cream Finance自誕生以來其開發方式就被行業冠以“糙快猛”字眼,即一貫追求迅速運營卻忽視迴歸測試,在運營過程中弊端與漏洞頻出,最終被黑客利用。
如今,整個DeFi板塊如同一個又一個的套娃,一環出錯會致使多個環節受到牽連,進而或引發局部系統性風險。發展至今,DeFi仍處於一種試驗階段,其中風險頻出,作爲金融領域的革新環節,仍需要時間來繼續檢驗。
作者:時江
編輯:XL