Криптоплатформата Cream Finance съобщава за третата голяма кибератака срещу нейните системи през тази година. Според доклада един или повече хакери са успели да заловят Етериум на стойност 130 милиона щатски долара в хода на манипулиран от тях процес на кредитиране.
Според уебсайта Vice.com превратът е една от най-големите кражби, извършвани някога в такава платформа. Престъпниците прибягват до атака с т.нар. светкавичен заем – сложен вид светкавичен заем, базиран на криптовалути. Обикновено парите се емитират и изплащат в рамките на една транзакция с помощта на т.нар. интелигентни договори.
Анализаторите смятат, че нападателите са използвали особено сложна трансакция, за да се възползват от уязвимост в системата на Cream Finance. По този начин те успяват да получат заема, без да го върнат. Твърди се, че само мрежовите такси за сложната атака са възлизали на около 36 000 щатски долара.
Наш първоначален анализ на атаката на Cream Finance:https://t.co/TysI7fjyPU@Mudit__Gupta @bantg @CreamdotFinance pic. twitter.com/wScUvizBtX
– BlockSec (@BlockSecTeam) October 27, 2021
Загадъчно послание представлява мистерия
Престъпниците са оставили загадъчно съобщение в предмета на транзакцията, което засега не позволява да се направят заключения за мотив или извършители. Там нападателите са написали: „gÃTµ Baave lucky, iron bank lucky, cream not. ydev : incest bad, dont do.“ Според доклада Aave е конкурентна платформа на Cream, докато платформата Iron Bank принадлежи на самата компания Cream.
Операторът на платформата обяви в Twitter след атаката, че използваната уязвимост е била затворена и че иска да се извини на потребителите си за инцидента.
С помощта на приятели от @iearnfinance и други членове на общността успяхме да идентифицираме уязвимостите и да ги поправим.
Междувременно спряхме нашите пазари за кредитиране v1 в Етериум и сме в процес на изготвяне на постмортален преглед.
– Cream Finance 🍦 (@CreamdotFinance) Октомври 27, 2021
По-рано през февруари 2021 г. хакери лишиха Cream от 37,5 милиона щатски долара при подобна атака. През август 2021 г. последва нова атака с флаш-кредити, при която престъпниците откраднаха още 18,8 милиона щатски долара.