El ataque financiero de CREAM conduce a una pérdida de $ 23 millones en AMP y ETH

Los nuevos estándares de token introducen una complejidad con la que las aplicaciones DeFi todavía están aprendiendo a lidiar.

Primer ejemplo: el mercado monetario CREAM Finance fue golpeado con un ataque de reingreso el 30 de agosto que permitió a los atacantes drenar $ 22.8 millones en el token AMP de Flexa y $ 4.2 millones en ETH (según los precios de mercado a media mañana del lunes).

La empresa de seguridad Blockchain, Peckshield, atribuyó el ataque a la forma en que funciona el token AMP. La compañía tuiteó, "El truco es posible debido a un error de reingreso introducido por $AMP, que es un token similar a ERC-777 y se explota para volver a tomar prestados activos durante su transferencia antes de actualizar el primer préstamo".

Con $ 82.4 mil millones en activos actualmente bloqueados en contratos inteligentes de finanzas descentralizadas (DeFi), la industria presenta un señuelo tentador para los ciberdelincuentes. Ha habido una gran cantidad de ataques similares este año, incluido un ataque anterior en CREMA en febrero.

Flexa es una red de pagos con criptografía que se ejecuta en Ethereum. Utiliza su token AMP para garantizar los pagos en su red hasta que finalicen. Su fundador, Tyler Spalding, le dijo a The Defiant a través de Telegram: “Creemos que AMP está funcionando como se esperaba/pretendía. Parece ser una vulnerabilidad de préstamo flash en CREAM”. 

¿Problemas conocidos?

La mayoría de los ciberdelincuentes no inventan de forma creativa nuevos exploits. Muchas veces, solo intentan ataques conocidos en diferentes redes para ver si alguno funciona. El caso en cuestión, dijo Spalding, según su entendimiento, el problema que condujo al ataque a CREAM fue similar a uno que ConsenSys Diligence había identificado en Uniswap en 2019. Su equipo se ha comunicado con CREAM para coordinar qué hacer a continuación.

Emilio Frangella, del equipo técnico de otro protocolo del mercado monetario, Aave, le dijo a The Defiant que los ERC-777 requieren un manejo especial. 

“Si el protocolo no tiene las protecciones de reingreso adecuadas o no se implementa de una manera que haga que el reingreso sea inofensivo, esto puede usarse para estropear la contabilidad interna del protocolo. Esto puede causar, por ejemplo, tener un usuario con una garantía mucho más alta de lo que realmente se deposita”, escribió Frangella a través de Telegram.

The Defiant no pudo comunicarse inmediatamente con CREAM Finance.

Fuente: https://thedefiant.io/cream-attack-23-million-amp-eth/?utm_source=rss&utm_medium=rss&utm_campaign=cream-attack-23-million-amp-eth