A plataforma criptográfica Cream Finance relata o terceiro grande ataque cibernético aos seus sistemas este ano. De acordo com o relatório, um ou mais hackers conseguiram capturar Ethereum no valor de 130 milhões de dólares americanos no decurso de um processo de empréstimo que tinham manipulado.
De acordo com o website Vice.com, o golpe é um dos maiores roubos alguma vez ocorridos numa tal plataforma. Os criminosos recorreram a um chamado ataque de empréstimo relâmpago, um tipo complicado de empréstimo relâmpago baseado em moedas criptográficas. O dinheiro é normalmente emitido e reembolsado numa única transacção utilizando os chamados contratos inteligentes.
Analistas acreditam que os atacantes usaram uma transacção particularmente complexa para explorar uma vulnerabilidade no sistema do Cream Finance. Ao fazê-lo, conseguiram cobrar o empréstimo sem o reembolsar. Só as taxas de rede pelo ataque elaborado terão ascendido a cerca de US$36.000,
A nossa análise inicial do ataque Cream Finance:https://t.co/TysI7fjyPU@Mudit__Gupta @bantg @CreamdotFinance pic. twitter.com/wScUvizBtX
– BlockSec (@BlockSecTeam) 27 de Outubro de 2021
Mensagem críptica coloca mistério
Os criminosos deixaram uma mensagem críptica no assunto da transacção, o que até agora não permite quaisquer conclusões sobre o motivo ou os perpetradores. Ali, os atacantes escreveram: “gÃTµ Baave lucky, iron bank lucky, cream not. ydev : incesto mau, dont do”. Aave, de acordo com o relatório, é uma plataforma concorrente da Cream, enquanto a plataforma Iron Bank pertence à própria Cream.
O operador da plataforma anunciou via Twitter após o ataque que a vulnerabilidade explorada tinha sido encerrada e que queria pedir desculpa aos seus utilizadores pelo incidente.
Com a ajuda de amigos de @iearnfinance e outros na comunidade, conseguimos identificar as vulnerabilidades e corrigi-las.
Entretanto, fizemos uma pausa nos nossos mercados de empréstimos v1 no Ethereum e estamos a preparar uma revisão post-mortem.
– Cream Finance 🍦 (@CreamdotFinance) 27 de Outubro de 2021
Earlier em Fevereiro de 2021, os hackers tinham privado o Cream de 37,5 milhões de dólares num ataque semelhante. Em Agosto de 2021, seguiu-se outro ataque de flash-loan, no qual os criminosos roubaram outros 18,8 milhões de dólares americanos.