L'attaque de CREAM Finance entraîne une perte de 23 millions de dollars en AMP et ETH

Les nouvelles normes de jetons introduisent une complexité avec laquelle les applications DeFi sont encore en train d’apprendre à gérer.

Premier exemple : le marché monétaire CREAM Finance a été touché par une attaque de réentrée le 30 août qui a permis aux attaquants de drainer 22.8 millions de dollars de jeton AMP de Flexa et 4.2 millions de dollars d'ETH (sur la base des prix du marché en milieu de matinée de lundi).

La société de sécurité blockchain Peckshield a attribué l'attaque au fonctionnement du jeton AMP. La société a tweeté"Le piratage est rendu possible grâce à un bug de réentrée introduit par $AMP, qui est un jeton de type ERC-777 et exploité pour réemprunter des actifs lors de son transfert avant de mettre à jour le premier emprunt."

Avec 82.4 milliards de dollars d’actifs actuellement bloqués sur des contrats intelligents de finance décentralisée (DeFi), le secteur présente un pot de miel alléchant pour les cybercriminels. Il y a eu de nombreuses attaques similaires cette année, y compris une attaque précédente sur CRÈME en février.

Flexa est un réseau de paiement crypté qui fonctionne sur Ethereum. Il utilise son token AMP pour garantir les paiements sur son réseau jusqu'à leur finalisation. Son fondateur, Tyler Spalding, a déclaré à The Defiant via Telegram : « Nous pensons qu'AMP fonctionne comme prévu/prévu. Il semble y avoir une vulnérabilité de prêt flash sur CREAM. 

Problèmes connus?

La plupart des cybercriminels ne proposent pas de nouveaux exploits de manière créative. Souvent, ils essaient simplement des attaques connues sur différents réseaux pour voir si certaines fonctionnent. À titre d'exemple, Spalding a déclaré que, d'après sa compréhension, le problème qui a conduit à l'attaque contre CREAM était similaire à celui que ConsenSys Diligence avait résolu. identifié sur Uniswap en 2019. Son équipe a contacté CREAM pour coordonner la marche à suivre.

Emilio Frangella, de l'équipe technique d'un autre protocole du marché monétaire Aave, a déclaré à The Defiant que les ERC-777 nécessitent un traitement spécial. 

« Si le protocole ne dispose pas de protections contre la réentrée appropriées ou n'est pas mis en œuvre de manière à rendre la réentrée inoffensive, cela peut être utilisé pour perturber la comptabilité interne du protocole. Cela peut amener, par exemple, à avoir un utilisateur avec une garantie beaucoup plus élevée que ce qui est réellement déposé », a écrit Frangella via Telegram.

CREAM Finance n'était pas joignable dans l'immédiat par The Defiant.

Source : https://thedefiant.io/cream-attack-23-million-amp-eth/?utm_source=rss&utm_medium=rss&utm_campaign=cream-attack-23-million-amp-eth