Platforma kryptograficzna „Cream Finance” zaatakowana, ponad 30 milionów dolarów w skradzionych tokenach

Nowy atak na platformę kryptowalutową rzucił cień na to, że krypto jako całość jest niezwykle bezpieczne. Atak był wymierzony w Cream Finance, podmiot, który określa się jako „zdecentralizowany protokół pożyczkowy dla osób fizycznych".

W ataku wykorzystano lukę, która pozwoliła hakerom ukraść około 24 milionów dolarów w tokenach AMP i kolejne około 10 milionów dolarów w tokenach Ethereum.

Według Cream Finance atak miał miejsce 31 sierpnia. Późniejsza szczegółowa analiza wykazała, że hakerzy wykorzystali błąd ponownego wejścia, który wynikał ze sposobu wykorzystania kontraktów i funkcji tokenów AMP na giełdzie.

Na stronie internetowej Cream Finance znajduje się szczegółowy post, który wyjaśnia, w jaki sposób hakerom udało się „zagnieździć" drugą funkcję „pożyczenia" i wykonać ją przed aktualizacją pierwszej. Ten sam post stwierdza, że problem nie był spowodowany „błędem lub problemem" w kodzie AMP.

Po zbadaniu sprawy z pomocą firmy zajmującej się bezpieczeństwem PeckShield - nazwy, która jest dobrze znana w dziedzinie bezpieczeństwa blockchain, Cream Finance odkrył, że błąd był spowodowany sposobem, w jaki AMP został zintegrowany i zaimplementowany na platformie Cream oraz Cream, który był właścicielem tego problemu.

Cream oświadczył również, że będzie rekompensować klientom wszelkie skradzione tokeny. Platforma DeFi jest również skłonna pozwolić hakerom zatrzymać do 10% skradzionego krypto bez żadnych konsekwencji, jeśli źli aktorzy chętnie zwrócą skradzione tokeny. Nie jest to niczym niezwykłym, biorąc pod uwagę, jak wiele firm płaci spore nagrody za błędy w nieco podobnych okolicznościach, tyle że bez rzeczywistego przestępstwa.

Cream Finance przyjmuje inne, odważniejsze podejście do próby ukarania hakerów w przypadku braku współpracy. Platforma oferuje ogromne 50% skradzionej sumy jako nagrodę za headhuntera dla każdego, kto dostarczy wiarygodnych informacji na temat tożsamości złego aktora, co z kolei prowadzi do jego aresztowania.

ZDNet przypomina, że to nie pierwszy raz Cream Finance stał się celem udanego ataku. W lutym 2021 r. kolejny atak z wykorzystaniem innego exploita doprowadził do straty ponad 37 milionów dolarów. Nie jest to też największa tego typu kradzież kryptowalut. Na początku sierpnia 2021 r. platforma DeFi Poly Network została trafiona przez samotnego napastnika, któremu udało się osuszyć tokeny kryptograficzne o wartości ponad pół miliarda dolarów.