Протокол кредитования Cream Finance подвергся второй за год атаке на флэш-кредиты и лишился более 25 миллионов долларов.
Первой атаку обнаружила компания по безопасности блокчейнов PeckShield. Она указала на транзакции Ethereum, показывающие, что из протокола было выведено не менее $6 млн. Позднее разработчики Cream Finance подтвердил взлом через Твиттер, добавив, что было украдено 418311571 AMP и 1308,09 ETH.
C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.
We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.
— Cream Finance 🍦 (@CreamdotFinance) August 30, 2021
Как сообщил в Discord менеджер по продуктам Cream Finance Исон Ву, основной причиной инцидента стало предоставление кредита на токены AMP. По его словам, другие средства протокола остаются в безопасности.
Анализ PeckShield показывает, что хакер взял кредит в 500 ETH и разместил его в качестве залога для заимствования 19 млн AMP. Затем хакер повторно занял 355 ETH внутри передачи токенов AMP, используя ошибку повторного входа. Он самоликвидировал заем и повторил процесс несколько раз.
3/4 Specifically, in the example tx, the hacker makes a flashloan of 500 ETH and deposit the funds as collateral. Then the hacker borrows 19M $AMP and makes use of the reentrancy bug to re-borrow 355 ETH inside $AMP token transfer(). Then the hacker self-liquidates the borrow. pic.twitter.com/ryVX2RoxhJ
— PeckShield Inc. (@peckshield) August 30, 2021
Атаки с использованием флеш-кредитов используют одну из самых спорных особенностей DeFi — кредиты, не требующие залога. Из-за такой же атаки Cream Finance потерял 37 миллионов долларов в начале этого года.