Децентрализованный протокол Cream Finance в очередной раз подвергся взлому. На это обратил внимание аналитик The Block Игорь Игамбердиев.
Looks like @CreamdotFinance is dead boys pic.twitter.com/3LlWkonoOO
— Igor Igamberdiev (@FrankResearcher) October 27, 2021
По данным Etherscan, неизвестный воспользовался мгновенным займом в рамках сложной транзакции. Комиссия превысила 9 ETH ($36,879 на тот момент). Большая часть похищенных активов представлена токенами поставщиков ликвидности Cream Finance и другими монетами стандарта ERC-20.
Хакер также оставил сообщение: «Baave повезло, Iron Bank повезло, Cream нет». Вероятно, это относится к проектам Aave, Iron Bank и Cream Finance.
Представители проекта заявили, что изучают эксплойт и раскроют детали по мере их появления.
We are investigating an exploit on C.R.E.A.M. v1 on Ethereum and will share updates as soon as they are available.
— Cream Finance ? (@CreamdotFinance) October 27, 2021
По оценкам The Block, сумма ущерба превысила $130 млн.
На момент написания токен проекта потерял 28,1% за последний час, согласно CoinGecko.
Аналитическая компания PeckShield сообщила, что атака стала возможна из-за ошибки, которая «позволяет занимать все средства в текущих пулах кредитования».
2/4 The hack is made possible due to a price manipulation bug in CREAM price oracle. And this bug allows a directly transferred yDAI+yUSDC+yUSDT+yTUSD tokens to significantly increase yUSD pricePerShare, which allows for basically borrowing all funds in current lending pools. pic.twitter.com/oETHCPiuWi
— PeckShield Inc. (@peckshield) October 27, 2021
Напомним, в феврале неизвестный злоумышленник воспользовался уязвимостью в протоколе Iron Bank (вторая версия проекта Cream Finance) и вывел токены на общую сумму $37,5 млн.
30 августа DeFi-протокол Cream Finance подвергся атаке с помощью мгновенного кредита. Ущерб составил 462 079 976 AMP и 2804 ETH (более $18 млн).
8 сентября взломщик перевел на мультисиг-кошелек проекта большую часть похищенной суммы в размере 5152,6 ETH.
В начале октября разработчики децентрализованного протокола подтвердили, что проекту удалось вернуть 5152,6 ETH. Хакеру позволили оставить 10% от похищенных средств – примерно 515 ETH в качестве награды за обнаруженную ошибку.
Источник
