Kryptografická platforma Cream Finance hlásí letos již třetí velký kybernetický útok na své systémy. Podle zprávy se jednomu nebo více hackerům podařilo v průběhu zmanipulovaného procesu půjčování získat Ethereum v hodnotě 130 milionů amerických dolarů.
Podle webu Vice.com se jedná o jednu z největších krádeží, která se kdy na této platformě odehrála. Zločinci se uchýlili k takzvanému flash loan útoku, což je komplikovaný typ bleskové půjčky založené na kryptoměnách. Peníze se obvykle vydávají a splácejí v rámci jedné transakce pomocí tzv. chytrých kontraktů.
Analytici se domnívají, že útočníci využili obzvláště složitou transakci ke zneužití zranitelnosti v systému společnosti Cream Finance. Přitom se jim podařilo získat půjčku, aniž by ji splatili. Jen síťové poplatky za tento promyšlený útok prý dosáhly přibližně 36 000 USD.
Naše prvotní analýza útoku na Cream Finance:https://t.co/TysI7fjyPU@Mudit__Gupta @bantg @CreamdotFinance pic. twitter.com/wScUvizBtX
– BlockSec (@BlockSecTeam) October 27, 2021
Záhadný vzkaz představuje záhadu
Zločinci zanechali v předmětu transakce záhadný vzkaz, z něhož zatím nelze usuzovat na motiv ani pachatele. Útočníci tam napsali: „gĂTµ Baave lucky, iron bank lucky, cream not. ydev : incest bad, dont do.“. Aave je podle zprávy konkurenční platformou společnosti Cream, zatímco platforma Iron Bank patří samotné společnosti Cream.
Provozovatel platformy po útoku na Twitteru oznámil, že zneužitá zranitelnost byla odstraněna a že se chce uživatelům za incident omluvit.
S pomocí přátel z @iearnfinance a dalších členů komunity se nám podařilo identifikovat zranitelnosti a opravit je.
Mezitím jsme pozastavili naše trhy s půjčkami v1 na Ethereu a připravujeme posmrtnou revizi.
– Cream Finance 🍦 (@CreamdotFinance) 27. října 2021
Předtím v únoru 2021 připravili hackeři při podobném útoku společnost Cream o 37,5 milionu USD. V srpnu 2021 následoval další bleskový útok, při kterém zločinci ukradli dalších 18,8 milionu amerických dolarů.