Atak finansowy CREAM prowadzi do straty w wysokości 23 milionów dolarów w AMP i ETH

Nowe standardy tokenów wprowadzają złożoność, z którą aplikacje DeFi wciąż się uczą.

Najlepszy przykład: Rynek pieniężny CREAM Finance został dotknięty atakiem ponownego wejścia w dniu 30 sierpnia, który umożliwił atakującym wyssanie 22.8 miliona dolarów z tokena AMP firmy Flexa i 4.2 miliona dolarów w ETH (na podstawie cen rynkowych z poniedziałkowego porannego handlu).

Firma Peckshield zajmująca się bezpieczeństwem Blockchain przypisała atak sposobowi działania tokena AMP. Firma napisała na Twitterze„Włamanie było możliwe dzięki błędowi ponownego wejścia wprowadzonemu przez $AMP, który jest tokenem podobnym do ERC-777 i wykorzystywanym do ponownego pożyczania zasobów podczas ich transferu przed aktualizacją pierwszego wypożyczenia”.

Z aktywami o wartości 82.4 miliarda dolarów zablokowanymi obecnie w ramach inteligentnych kontraktów dotyczących zdecentralizowanych finansów (DeFi), branża stanowi kuszącą przynętę dla cyberprzestępców. W tym roku miało miejsce mnóstwo podobnych ataków, w tym poprzedni na KREMIE w lutym.

Flexa to sieć płatności obsługująca kryptowaluty działająca na platformie Ethereum. Wykorzystuje swój token AMP do zabezpieczenia płatności w swojej sieci do czasu ich sfinalizowania. Jej założyciel, Tyler Spalding, powiedział The Defiant za pośrednictwem Telegramu: „Uważamy, że AMP działa zgodnie z oczekiwaniami/zamierzeniami. Wygląda na to, że jest to luka w zabezpieczeniach pożyczki błyskawicznej w CREAM.” 

Znane problemy?

Większość cyberprzestępców nie wymyśla w kreatywny sposób zupełnie nowych exploitów. Często po prostu próbują znanych ataków na różne sieci, aby sprawdzić, czy zadziałają. Przykładowo, jak stwierdził Spalding, na podstawie jego zrozumienia problem, który doprowadził do ataku na CREAM, był podobny do tego, który zgłosiła firma ConsenSys Diligence zidentyfikowane na Uniswapie w 2019 roku. Jego zespół skontaktował się z CREAM, aby uzgodnić dalsze działania.

Emilio Frangella z zespołu technicznego innego protokołu rynku pieniężnego Aave powiedział The Defiant, że ERC-777 wymagają specjalnego traktowania. 

„Jeśli protokół nie ma odpowiednich zabezpieczeń przed ponownym wejściem lub nie jest zaimplementowany w sposób, który sprawia, że ​​ponowne wejście jest nieszkodliwe, można to wykorzystać do zepsucia wewnętrznej księgowości protokołu. Może to na przykład spowodować, że użytkownik będzie posiadał znacznie wyższe zabezpieczenie niż faktycznie zdeponowane” – napisała Frangella za pośrednictwem Telegramu.

Firma The Defiant nie mogła od razu skontaktować się z firmą CREAM Finance.

Źródło: https://thedefiant.io/cream-attack-23-million-amp-eth/?utm_source=rss&utm_medium=rss&utm_campaign=cream-attack-23-million-amp-eth