CREAM Finance Attack toob kaasa 23 miljoni dollari suuruse kaotuse AMP ja ETH osas

Uued märgistandardid toovad kaasa keerukuse, millega DeFi rakendused alles õpivad võitlema.

Peamine näide: rahaturgu CREAM Finance tabas 30. augustil sisenemisrünnak, mis võimaldas ründajatel kulutada 22.8 miljonit dollarit Flexa AMP märgist ja 4.2 miljoni dollari väärtuses ETH-d (esmaspäeva keskhommikuse kauplemise turuhindade alusel).

Blockchaini turvafirma Peckshield seostas rünnakut sellega, kuidas AMP-märk toimib. Ettevõte säutsus, "Häkkimise sai võimalikuks tänu $AMP-i sisse viidud taaskasutamise veale, mis on ERC-777-taoline tunnus ja mida kasutatakse varade uuesti laenamiseks selle üleandmise ajal enne esimese laenu värskendamist."

Kuna praegu on detsentraliseeritud rahastamise (DeFi) nutikate lepingutega seotud varasid 82.4 miljardit dollarit, pakub see tööstus küberkurjategijatele ahvatlevat meepotti. Sel aastal on olnud palju sarnaseid rünnakuid, sealhulgas eelmine rünnak kreemi peal veebruaris.

Flexa on krüptotoega maksevõrk, mis töötab Ethereumis. Ta kasutab oma AMP-märki maksete tagatiseks oma võrgus, kuni need on lõpetatud. Selle asutaja Tyler Spalding ütles telegrammi vahendusel The Defiantile: "Arvame, et AMP toimib ootuspäraselt/kavatsustatult. Näib, et see on CREAMi välklaenu haavatavus. 

Teadaolevad probleemid?

Enamik küberkurjategijaid ei mõtle loovalt välja uhiuusi vägitegusid. Sageli proovivad nad lihtsalt teadaolevaid rünnakuid erinevate võrkude vastu, et näha, kas need toimivad. Näiteks Spalding ütles, et tema arusaamise põhjal oli probleem, mis viis CREAM-i rünnakuni, sarnane sellega, mis ConsenSys Diligence'il oli. tuvastati Uniswapis 2019. aastal. Tema meeskond on pöördunud CREAMi poole, et kooskõlastada, mida edasi teha.

Emilio Frangella teise rahaturu protokolli tehnilisest meeskonnast Aave ütles The Defiantile, et ERC-777-d nõuavad erilist käsitsemist. 

"Kui protokollil puuduvad korralikud taassisenemise kaitsed või seda ei rakendata viisil, mis muudab taassisenemise kahjutuks, võib seda kasutada protokolli sisemise raamatupidamise segamiseks. See võib põhjustada näiteks selle, et kasutajal on palju suurem tagatis, kui tegelikult hoiustatakse,“ kirjutas Frangella Telegrami vahendusel.

The Defiant ei saanud CREAM Finance'i kohe kätte.

Allikas: https://thedefiant.io/cream-attack-23-million-amp-eth/?utm_source=rss&utm_medium=rss&utm_campaign=cream-attack-23-million-amp-eth