O Crypto Platform 'Cream Finance' Foi Atacado, e Mais de $30 Milhões em Tokens Foram Roubados
Um novo ataque de plataforma de cripto-moeda lançou uma sombra sobre a noção de criptografia como um todo sendo extremamente segura. O ataque tinha como alvo a Cream Finance, uma entidade que se descreve como um "protocolo de empréstimo descentralizado para pessoas físicas".
O ataque explorou uma vulnerabilidade que permitiu aos hackers roubar cerca de US $24 milhões em tokens AMP e outros cerca de US $10 milhões em tokens Ethereum.
De acordo com o Cream Finance, o ataque ocorreu em 31 de agosto. Uma análise detalhada posterior mostrou que os hackers se aproveitaram de um bug de reentrada que se originou da maneira como os contratos e funções de token AMP eram utilizados na troca.
Há uma postagem detalhada no site do Cream Finance que explica como os hackers conseguiram "aninhar" uma segunda função de 'empréstimo' e executá-la antes que a inicial fosse atualizada. A mesma postagem afirma que o problema não foi devido a um "bug ou problema" dentro do código da AMP.
Depois de investigar o assunto com a ajuda da empresa de segurança PeckShield - um nome bem conhecido em segurança de blockchain, o Cream Finance descobriu que o bug foi causado pela maneira como o AMP foi integrado e implementado na plataforma do Cream e o Cream reconheceu o problema.
O Cream também afirmou que eles irão compensar os clientes por quaisquer tokens roubados. A plataforma DeFi também está disposta a permitir que os hackers retenham 10% da criptografia roubada sem nenhuma repercussão, se os malfeitores devolverem voluntariamente os tokens que roubaram. Isso não é muito incomum, considerando quantas empresas pagam recompensas consideráveis por bugs em circunstâncias semelhantes, mas sem nenhum crime real envolvido.
A Cream Finance está adotando outra abordagem mais ousada para tentar punir os hackers caso eles não cooperem. A plataforma está oferecendo 50% do total roubado como recompensa por headhunter (Cabeças Caçadas) para qualquer um que fornecer informações confiáveis sobre a identidade desses golpistas, o que por sua vez levará à prisão deles.
O ZDNet lembra que esta não é a primeira vez que a Cream Finance se tornou alvo de um ataque bem-sucedido. Em fevereiro de 2021, outro ataque usando um exploit diferente levou à perda de mais de $37 milhões. Este também não é o maior roubo de cripto-moeda desse tipo. No início de agosto de 2021, a plataforma DeFi Poly Network foi atingida por um invasor solitário que conseguiu drenar mais de meio bilhão de dólares em cripto-tokens.