Cream Finance被盗事件完结，赔偿方案引发用户不满

Cream Finance被盗事件虽然已基本完结，但事件引发的争议还在继续。

10月27日，DeFi借贷协议Cream Finance遭遇攻击者闪电贷攻击，致使C.R.E.A.M. Ethereum v1市场丢失价值1.3亿美元的Cream LP和其他ERC-20代币。

Cream Finance称，此次攻击混合了经济攻击和预言机攻击，攻击者从MakerDAO闪电贷出DAI来创建大量yUSD代币，同时通过操纵多资产流动性池（包括yDAI、yUSDC、yUSDT和yTUSD），利用价格预言机计算yUSD价格，yUSD价格升高后，攻击者的yUSD头寸增加，创造了足够的借入限额来抵消C.R.E.A.M. Ethereum v1市场的绝大部分流动性。被盗关键漏洞在于可封装代币的价格计算，已经停止了所有可封装代币的供应/借贷。

据Rekt数据显示，Cream Finance价值1.3亿美元代币从金额上看成为了加密历史上第三大失窃案，仅次于Poly Network的6.1亿美元和Compound的1.47亿美元。11月13日，Cream Financ公布了对受影响用户的赔偿方案，将利用其Treasury的剩余代币，并移除项目团队剩余的全部Cream代币分配，向受影响用户发放1453415枚Cream代币。

值得注意的是，若受影响用户成功向Nexus Mutual或Bridge Mutual提出全额保险索赔则没有资格认领Cream；若获得部分索赔，可根据剩余比例认领。不过，此举却遭到了部分行业人士的质疑，直言Cream Finance是历史上最无耻的项目方。

据微博博主“很大很大的橙子”认为，该被窃案虽然声称被盗1.3亿美元价值的资产，但是实际损失并不大，该赔偿方案利于项目方自身，并不利于赔偿者。

“这次1.3亿美金的损失，其中有5000-6000万美金是CRETH2（ETH2.0质押可封装代币），而CRETH2的底层资产都锁在ETH2.0质押合约里，实际是没有丢的。这次Cream团队给的方案是，对于在借贷市场里面被盗的CRETH2，其对应的质押在ETH2.0合约里的ETH不还了，只补偿一些Cream Token（当前价值大约为损失总金额的15%）。而对应的质押在ETH2.0合约里的ETH，就归团队所有。还有黑客打还给YEARN的近1000万美金，YEARN还给了Cream团队，但是Cream团队并未还给用户，只是补偿了一些Cream Token。”

很大很大的橙子认为，本质上是Cream团队用一些Cream Token换取了用户真金白银的ETH以及yCrv（两者加起来总价值大约6000-7000万美金），也就是说经过这次黑客盗币事件，Cream团队把Cream Token通过OTC出掉了，还卖了个好价钱。

更形象的讲，“Cream的事情相当于用户把钱存银行(Cream)，银行给了你存折。然后你的存折又寄存在银行，银行却给你搞丢了。最后银行表示因为存折丢失用户的资产无法归还，但是我可以补给用户15%本金作为补偿，你看我是不是很善良！”该博主强调。

公开资料显示，Cream Finance于2020年8月正式上线，分叉于Compound Finance，创始人为被称为“麻吉大哥”的台湾演员黄立成。

此外，本次被盗也不是Cream Finance第一次失窃，在今年2月和8月其均发生了被盗事件，被盗资金分别为3750万美元和1880万美元。这也使得该项目成为了今年以来黑客成功攻击次数最多的DeFi项目。

不过，Oklink数据显示，截至目前，Cream Finance总锁仓资金仍高达6.38亿美元，近一个月锁仓量仅下跌7.5%。

值得注意的是，Cream Finance自诞生以来其开发方式就被行业冠以“糙快猛”字眼，即一贯追求迅速运营却忽视回归测试，在运营过程中弊端与漏洞频出，最终被黑客利用。

如今，整个DeFi板块如同一个又一个的套娃，一环出错会致使多个环节受到牵连，进而或引发局部系统性风险。发展至今，DeFi仍处于一种试验阶段，其中风险频出，作为金融领域的革新环节，仍需要时间来继续检验。

作者：时江

编辑：XL