Η CREAM Finance Attack οδηγεί σε απώλεια 23 εκατομμυρίων $ σε AMP και ETH

Τα νέα πρότυπα διακριτικών εισάγουν πολυπλοκότητα με την οποία οι εφαρμογές DeFi εξακολουθούν να μαθαίνουν πώς να αντιμετωπίζουν.

Χαρακτηριστικό παράδειγμα: Η χρηματαγορά CREAM Finance δέχτηκε μια επίθεση επανεισόδου στις 30 Αυγούστου, η οποία επέτρεψε στους εισβολείς να απορρίψουν 22.8 εκατομμύρια δολάρια σε διακριτικό AMP της Flexa και ETH αξίας 4.2 εκατομμυρίων δολαρίων (με βάση τις τιμές της αγοράς στο μέσο της πρωινής διαπραγμάτευσης της Δευτέρας).

Η εταιρεία ασφαλείας Blockchain Peckshield απέδωσε την επίθεση στον τρόπο που λειτουργεί το διακριτικό AMP. Η εταιρεία έκανε tweet, "Η εισβολή κατέστη δυνατή λόγω ενός σφάλματος επανεισαγωγής που εισήχθη από το $AMP, το οποίο είναι ένα διακριτικό τύπου ERC-777 και το οποίο εκμεταλλεύεται για να ξαναδανειστεί περιουσιακά στοιχεία κατά τη μεταφορά του πριν από την ενημέρωση του πρώτου δανείου."

Με περιουσιακά στοιχεία 82.4 δισεκατομμυρίων δολαρίων που είναι επί του παρόντος κλειδωμένα με έξυπνα συμβόλαια αποκεντρωμένης χρηματοδότησης (DeFi), η βιομηχανία παρουσιάζει ένα δελεαστικό honeypot για τους εγκληματίες του κυβερνοχώρου. Υπήρξαν πολλές παρόμοιες επιθέσεις φέτος, συμπεριλαμβανομένης μιας προηγούμενης επίθεσης στην ΚΡΕΜΑ τον Φεβρουάριο.

Το Flexa είναι ένα δίκτυο πληρωμών με δυνατότητα κρυπτογράφησης που τρέχει στο Ethereum. Χρησιμοποιεί το διακριτικό AMP της για να εξασφαλίσει πληρωμές στο δίκτυό της μέχρι να οριστικοποιηθούν. Ο ιδρυτής του, Tyler Spalding, είπε στο The Defiant μέσω Telegram, «Πιστεύουμε ότι το AMP λειτουργεί όπως αναμενόταν/προβλεπόταν. Φαίνεται να είναι μια ευπάθεια φλας δανείου στο CREAM." 

Γνωστά προβλήματα?

Οι περισσότεροι κυβερνοεγκληματίες δεν επινοούν δημιουργικά ολοκαίνουργια κατορθώματα. Πολλές φορές, απλώς δοκιμάζουν γνωστές επιθέσεις σε διαφορετικά δίκτυα για να δουν αν λειτουργεί. Για παράδειγμα, είπε ο Spalding, με βάση την κατανόησή του, το ζήτημα που οδήγησε στην επίθεση στην CREAM ήταν παρόμοιο με αυτό που είχε η ConsenSys Diligence εντοπίστηκε στο Uniswap το 2019. Η ομάδα του έχει επικοινωνήσει με την CREAM για να συντονίσει τι θα κάνει στη συνέχεια.

Ο Emilio Frangella από την τεχνική ομάδα ενός άλλου πρωτοκόλλου χρηματαγοράς Aave, είπε στο The Defiant ότι τα ERC-777 απαιτούν ειδικό χειρισμό. 

«Εάν το πρωτόκολλο δεν έχει τις κατάλληλες προστασίες επανεισαγωγής ή δεν εφαρμόζεται με τρόπο που καθιστά την επανεισαγωγή αβλαβή, αυτό μπορεί να χρησιμοποιηθεί για να ανακατέψει την εσωτερική λογιστική του πρωτοκόλλου. Αυτό μπορεί να προκαλέσει, για παράδειγμα, έναν χρήστη με πολύ υψηλότερη εγγύηση από αυτή που κατατίθεται στην πραγματικότητα», έγραψε η Frangella μέσω Telegram.

Το CREAM Finance δεν ήταν άμεσα προσβάσιμο από το The Defiant.

Πηγή: https://thedefiant.io/cream-attack-23-million-amp-eth/?utm_source=rss&utm_medium=rss&utm_campaign=cream-attack-23-million-amp-eth