DeFi-протокол Cream Finance снова подвергся взлому
Децентрализованный протокол Cream Finance в очередной раз подвергся взлому. На это обратил внимание аналитик The Block Игорь Игамбердиев.
Looks like @CreamdotFinance is dead boys pic.twitter.com/3LlWkonoOO
— Igor Igamberdiev (@FrankResearcher) October 27, 2021
Команда Cream Finance оценила ущерб от атаки в $130 млн. Совместно с разработчиками yearn.finance администрации удалось выявить и закрыть уязвимость. Более подробные детали обещали раскрыть позднее.
With the help of friends from @iearnfinance and others in the community, we were able to identify the vulnerabilities and patch them.
— Cream Finance 🍦 (@CreamdotFinance) October 27, 2021
In the meantime, we’ve paused our v1 lending markets on Ethereum and we’re in the process of putting together a post-mortem review.
По данным Etherscan, неизвестный воспользовался мгновенным займом в рамках сложной транзакции. Комиссия превысила 9 ETH ($36 879 на тот момент). Большая часть похищенных активов представлена токенами поставщиков ликвидности Cream Finance и другими монетами стандарта ERC-20.
Хакер также оставил сообщение: «Baave повезло, Iron Bank повезло, Cream нет». Вероятно, это относится к проектам Aave, Iron Bank и Cream Finance.
Представители проекта заявили, что изучают эксплойт и раскроют детали по мере их появления.
We are investigating an exploit on C.R.E.A.M. v1 on Ethereum and will share updates as soon as they are available.
— Cream Finance 🍦 (@CreamdotFinance) October 27, 2021
По оценкам The Block, сумма ущерба превысила $130 млн.
На момент написания токен проекта потерял 28,1% за последний час, согласно CoinGecko.
Аналитическая компания PeckShield сообщила, что атака стала возможна из-за ошибки, которая «позволяет занимать все средства в текущих пулах кредитования».
2/4 The hack is made possible due to a price manipulation bug in CREAM price oracle. And this bug allows a directly transferred yDAI+yUSDC+yUSDT+yTUSD tokens to significantly increase yUSD pricePerShare, which allows for basically borrowing all funds in current lending pools. pic.twitter.com/oETHCPiuWi
— PeckShield Inc. (@peckshield) October 27, 2021
Напомним, в феврале неизвестный злоумышленник воспользовался уязвимостью в протоколе Iron Bank (вторая версия проекта Cream Finance) и вывел токены на общую сумму $37,5 млн.
30 августа DeFi-протокол Cream Finance подвергся атаке с помощью мгновенного кредита. Ущерб составил 462 079 976 AMP и 2804 ETH (более $18 млн).
8 сентября взломщик перевел на мультисиг-кошелек проекта большую часть похищенной суммы в размере 5152,6 ETH.
В начале октября разработчики децентрализованного протокола подтвердили, что проекту удалось вернуть 5152,6 ETH. Хакеру позволили оставить 10% от похищенных средств – примерно 515 ETH в качестве награды за обнаруженную ошибку.
Подписывайтесь на новости ForkLog в VK!
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!