La piattaforma di criptovalute Cream Finance riporta il terzo grande attacco informatico ai suoi sistemi quest’anno. Secondo il rapporto, uno o più hacker sono riusciti a catturare Ethereum per un valore di 130 milioni di dollari USA nel corso di un processo di prestito che avevano manipolato.
Secondo il sito web Vice.com, il colpo è uno dei più grandi furti mai avvenuti su tale piattaforma. I criminali hanno fatto ricorso al cosiddetto attacco flash loan, un tipo complicato di prestito lampo basato sulle criptovalute. Il denaro viene solitamente emesso e restituito in una singola transazione utilizzando i cosiddetti contratti intelligenti.
Gli analisti credono che gli aggressori abbiano usato una transazione particolarmente complessa per sfruttare una vulnerabilità nel sistema di Cream Finance. Così facendo, sono riusciti a riscuotere il prestito senza restituirlo. Si dice che le sole spese di rete per l’elaborato attacco ammontino a circa 36.000 dollari.
La nostra analisi iniziale dell’attacco di Cream Finance:https://t.co/TysI7fjyPU@Mudit__Gupta @bantg @CreamdotFinance pic. twitter.com/wScUvizBtX
– BlockSec (@BlockSecTeam) October 27, 2021
Il messaggio criptico pone un mistero
I criminali hanno lasciato un messaggio criptico nell’oggetto della transazione, che finora non permette di trarre conclusioni sul motivo o sugli autori. Lì, gli aggressori hanno scritto: “gÃTµ Baave lucky, iron bank lucky, cream not. ydev : incest bad, dont do.” Aave, secondo il rapporto, è una piattaforma concorrente di Cream, mentre la piattaforma Iron Bank appartiene a Cream stessa.
Il gestore della piattaforma ha annunciato via Twitter dopo l’attacco che la vulnerabilità sfruttata era stata chiusa e che voleva scusarsi con i suoi utenti per l’incidente.
Con l’aiuto degli amici di @iearnfinance e di altri nella comunità, siamo stati in grado di identificare le vulnerabilità e applicare una patch.
Nel frattempo, abbiamo messo in pausa i nostri mercati di prestito v1 su Ethereum e stiamo mettendo insieme una revisione post mortem.
– Cream Finance 🍦 (@CreamdotFinance) October 27, 2021
Prima, nel febbraio 2021, gli hacker avevano privato Cream di 37,5 milioni di dollari in un attacco simile. Nell’agosto 2021, seguì un altro attacco flash-loan, in cui i criminali rubarono altri 18,8 milioni di dollari.