Децентрализованный протокол Cream Finance в очередной раз подвергся взлому. На это обратил внимание аналитик The Block Игорь Игамбердиев.
Looks like @CreamdotFinance is dead boys pic.twitter.com/3LlWkonoOO— Igor Igamberdiev (@FrankResearcher) October 27, 2021
28 октября 2021 | 11:58Апдейт:
Команда Cream Finance оценила ущерб от атаки в $130 млн. Совместно с разработчиками yearn.finance администрации удалось выявить и закрыть уязвимость. Более подробные детали обещали раскрыть позднее.
With the help of friends from @iearnfinance and others in the community, we were able to identify the vulnerabilities and patch them. In the meantime, we've paused our v1 lending markets on Ethereum and we're in the process of putting together a post-mortem review.— Cream Finance 🍦 (@CreamdotFinance) October 27, 2021
По данным Etherscan, неизвестный воспользовался мгновенным займом в рамках сложной транзакции. Комиссия превысила 9 ETH ($36,879 на тот момент). Большая часть похищенных активов представлена токенами поставщиков ликвидности Cream Finance и другими монетами стандарта ERC-20.
Хакер также оставил сообщение: «Baave повезло, Iron Bank повезло, Cream нет». Вероятно, это относится к проектам Aave, Iron Bank и Cream Finance.
Данные: Etherscan.
Представители проекта заявили, что изучают эксплойт и раскроют детали по мере их появления.
We are investigating an exploit on C.R.E.A.M. v1 on Ethereum and will share updates as soon as they are available.— Cream Finance 🍦 (@CreamdotFinance) October 27, 2021
По оценкам The Block, сумма ущерба превысила $130 млн.
На момент написания токен проекта потерял 28,1% за последний час, согласно CoinGecko.
График Сream/USDT биржи FTX. Данные: TradingView.
27 октября 2021 | 20:09Апдейт:
Аналитическая компания PeckShield сообщила, что атака стала возможна из-за ошибки, которая «позволяет занимать все средства в текущих пулах кредитования».
2/4 The hack is made possible due to a price manipulation bug in CREAM price oracle. And this bug allows a directly transferred yDAI+yUSDC+yUSDT+yTUSD tokens to significantly increase yUSD pricePerShare, which allows for basically borrowing all funds in current lending pools. pic.twitter.com/oETHCPiuWi— PeckShield Inc. (@peckshield) October 27, 2021
Напомним, в феврале неизвестный злоумышленник воспользовался уязвимостью в протоколе Iron Bank (вторая версия проекта Cream Finance) и вывел токены на общую сумму $37,5 млн.
30 августа DeFi-протокол Cream Finance подвергся атаке с помощью мгновенного кредита. Ущерб составил 462 079 976 AMP и 2804 ETH (более $18 млн).
8 сентября взломщик перевел на мультисиг-кошелек проекта большую часть похищенной суммы в размере 5152,6 ETH.
В начале октября разработчики децентрализованного протокола подтвердили, что проекту удалось вернуть 5152,6 ETH. Хакеру позволили оставить 10% от похищенных средств – примерно 515 ETH в качестве награды за обнаруженную ошибку.
Подписывайтесь на новости ForkLog в VK!
