暗号プラットフォーム「Cream Finance」は、今年3回目となるシステムへの大規模なサイバー攻撃を報告しています。報告書によると、1人または複数のハッカーが、自分たちが操作した融資プロセスの過程で、1億3000万米ドル相当のイーサリアムを取り込むことに成功したとのことです。
Vice.comというサイトによると、今回のクーデターは、このようなプラットフォーム上で行われた過去最大級の盗難事件だそうです。犯罪者は、暗号通貨をベースにした複雑なタイプのライトニングローン、いわゆるフラッシュローン攻撃に頼りました。通常、お金の発行と返済は、スマートコントラクトと呼ばれる手法を用いて1回の取引で行われます。
アナリストは、攻撃者が特に複雑な取引を利用して、Cream Finance社のシステムの脆弱性を突いたと見ています。そうすることで、返済せずにローンを回収することができました。手の込んだ攻撃のためのネットワーク料金だけでも、約36,000米ドルに上ると言われています。
Our initial analysis of Cream Finance attack:https://t.co/TysI7fjyPU@Mudit__Gupta @bantg @CreamdotFinancepic. twitter.com/wScUvizBtX
– BlockSec (@BlockSecTeam) 2021年10月27日
Cryptic message poses mystery
犯人は取引の件名に暗号のようなメッセージを残しており、今のところ動機や犯人についての結論は出ていません。そこには「gÃTµ Baave lucky, iron bank lucky, cream not. ydev : incest bad, dont do」と書かれていました。報告書によると、AaveはCreamの競合プラットフォームであり、Iron BankのプラットフォームはCream自体に属しているとのことです。
プラットフォーム運営会社は、攻撃後にTwitterで、悪用された脆弱性が閉じられたことと、ユーザーに謝罪したいことを発表しました
。
@iearnfinanceの友人やコミュニティの人たちの協力を得て、脆弱性を特定し、パッチを当てることができました。
その間、イーサリアムでのv1貸し出し市場を一時停止し、事後検証をまとめているところです。
– クリームファイナンス 🍦 (@CreamdotFinance) 2021年10月27日
2021年2月初め、ハッカーは同様の攻撃でCream社から3750万米ドルを奪いました。2021年8月には、さらに1,880万米ドルを盗むフラッシュローン攻撃が発生しました。