Cream Finance, un noto protocollo della finanza decentralizzata (DeFi) incentrato sui prestiti, ha subito un grave exploit risultato nella perdita di quasi 19 milioni di dollari dalla sua piattaforma.
Un hacker non identificato è riuscito a sottrarre 18,8 milioni di dollari nell’ultimo flash loan attack ai danni di Cream Finance. Stando a un’indagine della società di sicurezza blockchain Peckshield, il responsabile ha sfruttato un reentrancy bug introdotto dal token Amp (AMP).
Annunciando la notizia lunedì, Cream Finance ha segnalato che il protocollo ha fermato l’exploit sospendendo i contratti di fornitura e di prestito per il token AMP. “Nessun altro mercato è stato colpito,” ha dichiarato Cream Finance.
“Il mercato C.R.E.A.M. v1 su Ethereum ha subito un exploit, risultante nella perdita di 418.311.571 AMP e 1.308,09 ETH, attraverso un reentrancy bug nello smart contract del token AMP. Abbiamo fermato l’exploit sospendendo la fornitura e i prestiti su AMP. Nessun altro mercato è stato colpito.”
C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.
— Cream Finance (@CreamdotFinance) August 30, 2021
We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.
Peckshield ha specificato che l’hacker ha sottratto i token prendendo in prestito asset in una serie di 17 transazioni separate durante il trasferimento di AMP prima che si aggiornasse il primo spostamento. Descrivendo una transazione di esempio, la società di sicurezza ha spiegato, “l’hacker effettua un flash loan da 500 ETH e deposita i fondi come collaterale. Quindi, prende in prestito 19 milioni di AMP e sfrutta il reentrancy bug per riprendere in prestito 355 ETH all’interno del trasferimento di token AMP. In seguito, l’hacker liquida direttamente il prestito.”
“I fondi sono ancora in 0xCE1F….6EDE. Stiamo monitorando attivamente questo indirizzo per qualsiasi movimento,” ha aggiunto Peckshield, indicando l’indirizzo dell’hacker.
AMP è un token basato su Ethereum progettato per collateralizzare pagamenti sul network di pagamenti digitali Flexa. Il contratto del token AMP implementa uno smart contract di registrazione basato su ERC77 conosciuto come ERC1820. Introdotto nel 2019, lo standard ERC1820 definisce uno smart contract di registrazione universale in cui qualsiasi indirizzo “può registrare quale interfaccia supporta e quale smart contract è responsabile per la sua implementazione.”
In seguito all’attacco informatico, sia AMP che il token nativo di Cream Finance, CREAM, hanno registrato correzioni significative, con AMP precipitato dell'8,5% nelle ultime 24 ore. Al momento della stesura, AMP si trova a 0,054163$, mentre CREAM si aggira intorno ai 167$, dopo una perdita giornaliera del 5%, stando ai dati di CoinGecko.
Come segnalato in precedenza da Cointelegraph, a febbraio il prodotto DeFi Alpha Homora ha subito un hack da 37 milioni di dollari a causa di un exploit della piattaforma di prestito tra protocolli Iron Bank di Cream.
Il nuovo flash loan attack si unisce alla lista sempre più lunga di hack e exploit ai danni di piattaforme crypto centralizzate e decentralizzate. Il 28 agosto, l’exchange di criptovalute Bilaxy ha subito un grave hack ai danni del proprio hot wallet, risultato nella compromissione di 295 token ERC-20. Il 19 agosto, Liquid ha perso quasi 100 milioni di dollari a causa di un attacco informatico.