CreamFinance：若闪电贷主要攻击者愿意返还被盗资金，将提供漏洞赏金

9月1日消息，抵押借贷平台Cream Finance发布闪电贷攻击事后分析报告。北京时间8月31日12点左右，C.R.E.A.M. Finance因AMP漏洞导致462079976 AMP和2804.96 ETH被盗。有一个主要的漏洞攻击者和一个较小的模仿者（copy-cat）。模仿者攻击地址有从币安提现的历史记录。官方正在与币安合作以确定第二个攻击者。官方会将所有相关信息转交执法机关，并在法律允许的范围内进行起诉。 攻击发生后，官方已暂停AMP供应和借用功能。当补丁可以安全部署时，将重新启用AMP市场。团队正在与审计员和技术顾问合作，以确保能够安全地防范未来的类似攻击。官方将替换被盗的ETH和被盗的AMP，这样用户就不会出现流动性问题。官方将承诺分配所有协议费用的20%用于偿还，直到该债务全部付清。同时将与Flexa/AMP团队发布CREAM抵押品来担保这笔债务。受影响的用户可以填写谷歌表单提交详细信息。 Cream Finance还称，如果主要攻击者愿意返还被盗资金，官方将兑现正常的10%漏洞赏金，并允许攻击者保留10%的资金作为漏洞赏金。但是，如果任何人能够识别并提供导致逮捕和起诉攻击者的信息，官方将分享所有返还资金的50%。官方正与有关当局合作，寻求可以利用的所有渠道。 据此前报道，PeckShield表示，Cream Finance遭闪电贷攻击是因为AMP代币合约引入一个可重入漏洞。AMP是一种类似ERC777的代币，在更新第一次借款之前，它被用来在转移资产的过程中重新借入资产。