L'attacco finanziario CREAM porta a una perdita di 23 milioni di dollari in AMP ed ETH

I nuovi standard dei token introducono una complessità con cui le applicazioni DeFi stanno ancora imparando a fare i conti.

Primo esempio: il mercato monetario CREAM Finance è stato colpito da un attacco di rientro il 30 agosto che ha consentito agli aggressori di drenare $ 22.8 milioni nel token AMP di Flexa e $ 4.2 milioni in ETH (basato sui prezzi di mercato a metà mattinata di negoziazione di lunedì).

La società di sicurezza blockchain Peckshield ha attribuito l'attacco al modo in cui funziona il token AMP. La compagnia ha twittato, "L'hacking è reso possibile a causa di un bug di rientro introdotto da $AMP, che è un token simile a ERC-777 e sfruttato per ri-prendere in prestito risorse durante il suo trasferimento prima di aggiornare il primo prestito".

Con $ 82.4 miliardi di asset attualmente bloccati su contratti intelligenti di finanza decentralizzata (DeFi), il settore presenta un allettante honeypot per i criminali informatici. Ci sono stati una serie di attacchi simili quest'anno, incluso un attacco precedente su CREMA a febbraio.

Flexa è una rete di pagamenti criptata che funziona su Ethereum. Utilizza il suo token AMP per garantire i pagamenti sulla sua rete fino al loro completamento. Il suo fondatore, Tyler Spalding, ha dichiarato a The Defiant tramite Telegram: "Pensiamo che AMP funzioni come previsto/previsto. Sembra essere una vulnerabilità del prestito flash su CREAM. 

Problemi noti?

La maggior parte dei criminali informatici non sta inventando in modo creativo exploit nuovi di zecca. Molte volte, stanno solo provando attacchi noti su reti diverse per vedere se funzionano. Caso in questione, Spalding ha affermato che, sulla base della sua comprensione, il problema che ha portato all'attacco a CREAM era simile a quello che aveva ConsenSys Diligence identificato su Uniswap nel 2019. Il suo team ha contattato CREAM per coordinarsi su cosa fare dopo.

Emilio Frangella del team tecnico di un altro protocollo di mercato monetario Aave, ha detto a The Defiant che gli ERC-777 richiedono un trattamento speciale. 

“Se il protocollo non dispone di adeguate protezioni di rientro o non è implementato in un modo che renda il rientro innocuo, questo può essere utilizzato per rovinare la contabilità interna del protocollo. Ciò può causare, ad esempio, un utente con una garanzia molto più alta di quella effettivamente depositata", ha scritto Frangela tramite Telegram.

CREAM Finance non è stato immediatamente raggiungibile da The Defiant.

Fonte: https://thedefiant.io/cream-attack-23-million-amp-eth/?utm_source=rss&utm_medium=rss&utm_campaign=cream-attack-23-million-amp-eth