La plateforme de crypto-monnaie Cream Finance fait état de la troisième cyber-attaque majeure contre ses systèmes cette année. Selon le rapport, un ou plusieurs pirates ont réussi à s’emparer d’Ethereum d’une valeur de 130 millions de dollars américains au cours d’un processus de prêt qu’ils avaient manipulé.
Selon le site Vice.com, ce coup est l’un des plus grands vols jamais commis sur une telle plateforme. Les criminels ont eu recours à une attaque dite de prêt flash, un type compliqué de prêt éclair basé sur les crypto-monnaies. L’argent est généralement émis et remboursé en une seule transaction à l’aide de contrats dits « intelligents ».
Les analystes pensent que les attaquants ont utilisé une transaction particulièrement complexe pour exploiter une vulnérabilité dans le système de Cream Finance. Ce faisant, ils ont réussi à récupérer le prêt sans le rembourser. Les frais de réseau pour cette attaque élaborée s’élèveraient à environ 36 000 dollars.
Notre analyse initiale de l’attaque de Cream Finance:https://t.co/TysI7fjyPU@Mudit__Gupta @bantg @CreamdotFinance pic. twitter.com/wScUvizBtX
– BlockSec (@BlockSecTeam) October 27, 2021
Cryptic message poses mystery
Les criminels ont laissé un message cryptique dans l’objet de la transaction, qui ne permet pour l’instant aucune conclusion sur le motif ou les auteurs. Là, les agresseurs ont écrit : « gÃTµ Baave lucky, iron bank lucky, cream not. ydev : incest bad, don do. » Aave, selon le rapport, est une plateforme concurrente de Cream, tandis que la plateforme Iron Bank appartient à Cream elle-même.
L’opérateur de la plateforme a annoncé sur Twitter, après l’attaque, que la vulnérabilité exploitée avait été comblée et qu’il tenait à présenter ses excuses à ses utilisateurs pour cet incident.
Avec l’aide de nos amis de @iearnfinance et d’autres membres de la communauté, nous avons pu identifier les vulnérabilités et les corriger.
En attendant, nous avons mis en pause nos marchés de prêts v1 sur Ethereum et nous sommes en train de mettre en place un examen post-mortem.
– Cream Finance 🍦 (@CreamdotFinance) October 27, 2021
Auparavant, en février 2021, des pirates informatiques avaient privé Cream de 37,5 millions de dollars américains lors d’une attaque similaire. En août 2021, une autre attaque de prêt flash a suivi, au cours de laquelle les criminels ont volé 18,8 millions de dollars US supplémentaires.
