Het cryptoplatform Cream Finance meldt de derde grote cyberaanval op zijn systemen dit jaar. Volgens het rapport zijn een of meer hackers erin geslaagd Ethereum ter waarde van 130 miljoen Amerikaanse dollar buit te maken tijdens een door hen gemanipuleerd leenproces.
Volgens de website Vice.com is de coup een van de grootste diefstallen die ooit op zo’n platform hebben plaatsgevonden. De criminelen namen hun toevlucht tot een zogeheten flitsleningaanval, een ingewikkelde vorm van bliksemlening op basis van cryptocurrencies. Het geld wordt meestal uitgegeven en terugbetaald in één enkele transactie met behulp van zogenaamde slimme contracten.
Analisten denken dat de aanvallers een bijzonder complexe transactie hebben gebruikt om een kwetsbaarheid in het systeem van Cream Finance uit te buiten. Op die manier slaagden zij erin de lening te innen zonder deze terug te betalen. De netwerkkosten alleen al voor de uitgebreide aanval zouden zo’n 36.000 dollar hebben bedragen.
Onze eerste analyse van de Cream Finance aanval:https://t.co/TysI7fjyPU@Mudit__Gupta @bantg @CreamdotFinance pic. twitter.com/wScUvizBtX
– BlockSec (@BlockSecTeam) October 27, 2021
Cryptisch bericht doet mysterie rijzen
De criminelen lieten een cryptische boodschap achter in het transactieonderwerp, waaruit tot nu toe nog geen conclusies kunnen worden getrokken over motief of daders. Daar schreven de aanvallers: “gÃTµ Baave lucky, iron bank lucky, cream not. ydev : incest slecht, dont do.” Aave is volgens het rapport een concurrerend platform voor Cream, terwijl het Iron Bank-platform van Cream zelf is.
De platformexploitant kondigde na de aanval via Twitter aan dat de uitgebuite kwetsbaarheid was gedicht en dat het zijn gebruikers zijn excuses wilde aanbieden voor het incident.
Met de hulp van vrienden van @iearnfinance en anderen in de gemeenschap, waren we in staat om de kwetsbaarheden te identificeren en ze te patchen.
In de tussentijd hebben we onze v1 leenmarkten op Ethereum gepauzeerd en zijn we bezig met het samenstellen van een post-mortem review.
– Cream Finance 🍦 (@CreamdotFinance) October 27, 2021
Eerder in februari 2021 hadden hackers Cream bij een soortgelijke aanval 37,5 miljoen dollar ontfutseld. In augustus 2021 volgde een nieuwe flitsleningaanval, waarbij criminelen nog eens 18,8 miljoen US dollar stalen.