Piattaforma crittografica "Cream Finance" attaccata, oltre $30 milioni in token rubati
Un nuovo attacco alla piattaforma di criptovaluta ha gettato un'ombra sulla nozione che la criptovaluta nel suo insieme sia estremamente sicura. L'attacco ha preso di mira Cream Finance, un'entità che si descrive come un "protocollo di prestito decentralizzato per gli individui".
L'attacco ha sfruttato una vulnerabilità che ha permesso agli hacker di rubare circa 24 milioni di dollari in token AMP e altri circa 10 milioni di dollari in token Ethereum.
Secondo Cream Finance, l'attacco è avvenuto il 31 agosto. Un'analisi dettagliata successiva ha mostrato che gli hacker hanno approfittato di un bug di rientro che derivava dal modo in cui i contratti e le funzioni dei token AMP sono stati utilizzati nello scambio.
C'è un post dettagliato sul sito Web di Cream Finance che spiega come gli hacker sono riusciti a "annidare" una seconda funzione di "prestito" ed eseguirla prima che quella iniziale fosse aggiornata. Lo stesso post afferma che il problema non era dovuto a un "bug o problema" all'interno del codice AMP.
Dopo aver indagato sulla questione con l'aiuto della società di sicurezza PeckShield, un nome ben noto nella sicurezza blockchain, Cream Finance ha scoperto che il bug è stato causato dal modo in cui AMP è stato integrato e implementato all'interno della piattaforma di Cream e Cream è responsabile del problema.
Cream ha anche affermato che risarcirà i clienti per eventuali token rubati. La piattaforma DeFi è inoltre disposta a consentire agli hacker di trattenere il 10% delle criptovalute rubate senza ripercussioni, se i malintenzionati restituiscono volontariamente i token che hanno rubato. Questo non è troppo insolito, considerando quante aziende pagano considerevoli ricompense di bug in circostanze in qualche modo simili, solo senza alcun crimine reale coinvolto.
Cream Finance sta adottando un altro approccio più audace nel tentativo di punire gli hacker nel caso in cui non collaborino. La piattaforma offre un enorme 50% del totale rubato come ricompensa del cacciatore di teste per chiunque fornisca informazioni affidabili sull'identità del cattivo attore, che a sua volta porta al loro arresto.
ZDNet ricorda che questa non è la prima volta che Cream Finance è diventata il bersaglio di un attacco riuscito. Nel febbraio 2021 un altro attacco con un exploit diverso ha portato alla perdita di oltre 37 milioni di dollari. Anche questo non è il più grande furto di criptovalute di questo tipo. All'inizio di agosto 2021 la piattaforma DeFi Poly Network è stata colpita da un aggressore solitario che è riuscito a prosciugare oltre mezzo miliardo di dollari di token crittografici.