Crypto-platform 'Cream Finance' aangevallen, meer dan $30 miljoen aan gestolen tokens

Een nieuwe aanval op het cryptocurrency-platform heeft een schaduw geworpen over het idee dat crypto als geheel extreem veilig is. De aanval was gericht op Cream Finance, een entiteit die zichzelf omschrijft als een "gedecentraliseerd leenprotocol voor particulieren".

De aanval maakte gebruik van een kwetsbaarheid waarmee de hackers ongeveer $ 24 miljoen aan AMP-tokens en nog eens ongeveer $ 10 miljoen aan Ethereum-tokens konden stelen.

Volgens Cream Finance vond de aanval plaats op 31 augustus. Latere gedetailleerde analyse toonde aan dat de hackers misbruik maakten van een herintredingsbug die voortkwam uit de manier waarop AMP-tokencontracten en -functies in de uitwisseling werden gebruikt.

Er is een gedetailleerd bericht op de website van Cream Finance waarin wordt uitgelegd hoe de hackers erin slaagden om een tweede 'leenfunctie' te 'nesten' en uit te voeren voordat de eerste werd bijgewerkt. In hetzelfde bericht staat dat het probleem niet te wijten was aan een "bug of probleem" in de code van AMP.

Na de kwestie te hebben onderzocht met de hulp van beveiligingsbedrijf PeckShield - een naam die bekend is in blockchain-beveiliging, ontdekte Cream Finance dat de bug werd veroorzaakt door de manier waarop AMP was geïntegreerd en geïmplementeerd binnen het platform van Cream en Cream de eigenaar was van het probleem.

Cream heeft ook verklaard dat ze klanten zullen compenseren voor gestolen tokens. Het DeFi-platform is ook bereid om de hackers 10% van de gestolen crypto te laten behouden zonder enige repercussies, als de slechte acteurs bereidwillig de tokens die ze hebben gestolen teruggeven. Dit is niet zo ongewoon, als je bedenkt hoeveel bedrijven aanzienlijke bug bounties betalen in enigszins vergelijkbare omstandigheden, alleen zonder dat er echte misdaad bij betrokken is.

Cream Finance kiest voor een andere, gedurfdere benadering om de hackers te straffen voor het geval ze niet willen meewerken. Het platform biedt een enorme 50% van het gestolen totaal aan als beloning voor headhunter-bounty voor iedereen die betrouwbare informatie verstrekt over de identiteit van de slechte acteur, wat op zijn beurt leidt tot hun arrestatie.

ZDNet herinnert eraan dat dit niet de eerste keer is dat Cream Finance het doelwit wordt van een succesvolle aanval. In februari 2021 leidde een nieuwe aanval met een andere exploit tot het verlies van meer dan $ 37 miljoen. Dit is ook niet de grootste cryptodiefstal van deze soort. Begin augustus 2021 werd DeFi-platform Poly Network getroffen door een eenzame aanvaller die erin slaagde meer dan een half miljard dollar aan crypto-tokens te ontvreemden.