A CREAM Finance Attack 23 millió dolláros AMP- és ETH-veszteséget okoz

Az új token-szabványok olyan komplexitást hoznak létre, amellyel a DeFi-alkalmazások még tanulnak megbirkózni.

Kiváló példa: A pénzpiaci CREAM Finance-t augusztus 30-án egy visszatérési támadás érte, amely lehetővé tette a támadók számára, hogy 22.8 millió dollárt merítsenek ki a Flexa AMP tokenjéből és 4.2 millió dollár értékű ETH-t (a hétfő délelőtti kereskedési piaci árak alapján).

A blokklánc biztonsági cég, a Peckshield az AMP token működésének tulajdonította a támadást. A cég tweetelt, "A feltörést a $AMP által bevezetett visszatérési hiba tette lehetővé, amely egy ERC-777-szerű token, és arra használják ki, hogy az első kölcsön frissítése előtt újra kölcsönözzenek eszközöket az átvitel során."

A jelenleg 82.4 milliárd dollárnyi vagyonnal a decentralizált pénzügyi (DeFi) intelligens szerződések miatt az iparág lenyűgöző mézesmadzagot kínál a kiberbűnözők számára. Ebben az évben rengeteg hasonló támadás történt, köztük egy korábbi támadás is a KRÉM-en februárban.

A Flexa egy kripto-kompatibilis fizetési hálózat, amely Ethereumon fut. AMP tokenjét használja a fizetések fedezetére a hálózatán, amíg azok véglegesítésre nem kerülnek. Alapítója, Tyler Spalding a The Defiantnek a Telegramon keresztül elmondta: „Úgy gondoljuk, hogy az AMP az elvárásoknak/szándékoknak megfelelően működik. Úgy tűnik, ez egy gyorskölcsönzési sebezhetőség a CREAM-en.” 

Ismert problémák?

A legtöbb kiberbűnöző nem kreatívan áll elő vadonatúj támadásokkal. Sokszor csak próbálnak ismert támadásokat különböző hálózatokon, hogy megnézzék, működik-e. Spalding úgy nyilatkozott, hogy megértése alapján a CREAM elleni támadáshoz vezető probléma hasonló volt a ConsenSys Diligence problémájához. azonosították az Uniswapon 2019-ben. Csapata megkereste a CREAM-et, hogy koordinálják a további teendőket.

Emilio Frangella, az Aave másik pénzpiaci protokoll technikai csapatától azt mondta a The Defiantnek, hogy az ERC-777-esek különleges kezelést igényelnek. 

„Ha a protokoll nem rendelkezik megfelelő visszalépési védelemmel, vagy nem oly módon van implementálva, hogy az újbóli belépést ártalmatlanná tegye, ez felhasználható a protokoll belső elszámolásának megzavarására. Ez például azt okozhatja, hogy egy felhasználónak jóval magasabb fedezete van, mint amennyi valójában el van helyezve” – írta Frangella a Telegramon.

A CREAM Finance-t a The Defiant nem tudta azonnal elérni.

Forrás: https://thedefiant.io/cream-attack-23-million-amp-eth/?utm_source=rss&utm_medium=rss&utm_campaign=cream-attack-23-million-amp-eth