Криптоплатформа Cream Finance сообщает о третьей крупной кибератаке на свои системы в этом году. Согласно отчету, одному или нескольким хакерам удалось завладеть Ethereum на сумму 130 миллионов долларов США в ходе процесса кредитования, которым они манипулировали.
По данным сайта Vice.com, переворот является одной из крупнейших краж, когда-либо происходивших на подобной платформе. Преступники прибегли к так называемой атаке флэш-кредита — сложного вида молниеносного займа, основанного на криптовалютах. Деньги обычно выдаются и погашаются в рамках одной транзакции с использованием так называемых смарт-контрактов.
Аналитики считают, что злоумышленники использовали особенно сложную транзакцию для использования уязвимости в системе Cream Finance. При этом им удалось получить кредит, не выплатив его. По имеющимся данным, только плата за пользование сетью в ходе тщательно продуманной атаки составила около 36 000 долларов США.
Наш первоначальный анализ атаки Cream Finance:https://t.co/TysI7fjyPU@Mudit__Gupta @bantg @CreamdotFinance pic. twitter.com/wScUvizBtX
— BlockSec (@BlockSecTeam) Октябрь 27, 2021
Криптографическое послание представляет собой загадку
Преступники оставили загадочное сообщение в теме транзакции, что пока не позволяет сделать какие-либо выводы о мотиве или преступниках. Там злоумышленники написали: «gÃTµ Baave lucky, iron bank lucky, cream not. ydev : incest bad, dont do». Aave, согласно отчету, является платформой конкурента Cream, в то время как платформа Iron Bank принадлежит самой Cream.
После атаки оператор платформы объявил через Twitter, что использованная уязвимость была закрыта и что он хочет извиниться перед своими пользователями за инцидент.
С помощью друзей из @iearnfinance и других членов сообщества мы смогли выявить уязвимости и залатать их.
Тем временем мы приостановили наши рынки кредитования v1 на Ethereum и находимся в процессе составления посмертного обзора.
— Cream Finance 🍦 (@CreamdotFinance) Октябрь 27, 2021
Раньше, в феврале 2021 года, хакеры лишили компанию Cream 37,5 миллионов долларов США в результате аналогичной атаки. В августе 2021 года последовала еще одна атака на флэш-кредиты, в ходе которой преступники похитили еще 18,8 миллиона долларов США.