Kripto Platformu 'Cream Finance' Saldırıya Uğradı, 30 Milyon Dolardan Fazla Token Çalındı

Yeni bir kripto para platformu saldırısı, bir bütün olarak son derece güvenli olan kripto kavramına gölge düşürdü. Saldırı, kendisini "bireyler için merkezi olmayan borç verme protokolü" olarak tanımlayan bir kuruluş olan Cream Finance'i hedef aldı.

Saldırı, bilgisayar korsanlarının AMP tokenlerinde yaklaşık 24 milyon dolar ve Ethereum tokenlerinde yaklaşık 10 milyon dolar çalmasına izin veren bir güvenlik açığından yararlandı.

Cream Finance'e göre, saldırı 31 Ağustos'ta gerçekleşti. Daha sonraki ayrıntılı analizler, bilgisayar korsanlarının, AMP token sözleşmelerinin ve işlevlerinin borsada kullanılma şeklinden kaynaklanan bir yeniden giriş hatasından yararlandığını gösterdi.

Cream Finance'in web sitesinde, bilgisayar korsanlarının ikinci bir "ödünç alma" işlevini nasıl "iç içe geçirmeyi" ve ilk işlev güncellenmeden önce bunu yürütmeyi nasıl başardıklarını açıklayan ayrıntılı bir yazı var. Aynı gönderi, sorunun AMP kodundaki bir "hata veya sorun" nedeniyle olmadığını belirtiyor.

Blockchain güvenliğinde iyi bilinen bir isim olan güvenlik firması PeckShield'ın yardımıyla konuyu araştırdıktan sonra Cream Finance, hatanın AMP'nin Cream platformuna entegre edilmesi ve uygulanmasından ve Cream'in konuya sahip olmasından kaynaklandığını tespit etti.

Cream ayrıca, çalınan jetonlar için müşterilere tazminat ödeyeceklerini belirtti. DeFi platformu ayrıca, kötü aktörler çaldıkları jetonları isteyerek iade ederse, bilgisayar korsanlarının çalınan kripto paranın %10'unu herhangi bir yansıma olmadan tutmasına izin vermeye isteklidir. Bu, pek çok şirketin, herhangi bir gerçek suç olmadan, biraz benzer koşullarda oldukça büyük hata ödülleri ödediği göz önüne alındığında, alışılmadık bir durum değil.

Cream Finance, bilgisayar korsanlarını işbirliği yapmamaları durumunda cezalandırmaya yönelik daha cesur bir yaklaşım benimsiyor. Platform, kötü aktörün kimliği hakkında güvenilir bilgi sağlayan ve bunun sonucunda tutuklanmalarına yol açan herkese, çalınan toplamın %50'sini kelle avcısı ödül ödemesi olarak sunuyor.

ZDNet, Cream Finance'in ilk kez başarılı bir saldırının hedefi olmadığını hatırlatıyor. Şubat 2021'de farklı bir istismar kullanan başka bir saldırı 37 milyon doların üzerinde kayba yol açtı. Bu aynı zamanda bu türdeki en büyük kripto hırsızlığı değil. Ağustos 2021'in başlarında, DeFi platformu Poly Network, yarım milyar doların üzerinde kripto para birimini boşaltmayı başaran yalnız bir saldırgan tarafından vuruldu.