Атака CREAM Finance привела к убыткам в размере 23 миллионов долларов в AMP и ETH

Новые стандарты токенов вносят сложности, с которыми приложения DeFi все еще учатся справляться.

Яркий пример: денежный рынок CREAM Finance подвергся повторной атаке 30 августа, которая позволила злоумышленникам вывести 22.8 миллиона долларов в токене AMP Flexa и 4.2 миллиона долларов в ETH (исходя из рыночных цен в середине утренних торгов в понедельник).

Компания Peckshield, занимающаяся безопасностью блокчейна, объяснила атаку тем, как работает токен AMP. Компания твитнула, «Взлом стал возможен из-за ошибки повторного входа, представленной $AMP, который представляет собой токен, подобный ERC-777, и используется для повторного заимствования активов во время его передачи перед обновлением первого заимствования».

С активами в размере 82.4 млрд долларов, которые в настоящее время заблокированы в смарт-контрактах децентрализованного финансирования (DeFi), отрасль представляет собой заманчивую приманку для киберпреступников. В этом году было множество подобных атак, в том числе предыдущая атака на КРЕМ в феврале.

Flexa — это платежная сеть с поддержкой криптографии, работающая на Ethereum. Он использует свой токен AMP для обеспечения платежей в своей сети до тех пор, пока они не будут завершены. Его основатель Тайлер Сполдинг сказал The Defiant через Telegram: «Мы думаем, что AMP работает так, как ожидалось/предполагалось. Похоже, это уязвимость мгновенного кредита в CREAM». 

Известные вопросы?

Большинство киберпреступников творчески не придумывают совершенно новые эксплойты. Часто они просто пробуют известные атаки в разных сетях, чтобы посмотреть, сработает ли что-нибудь. В данном случае Сполдинг сказал, что, исходя из его понимания, проблема, которая привела к атаке на CREAM, была аналогична той, с которой столкнулась ConsenSys Diligence. идентифицировано на Uniswap в 2019 г.. Его команда связалась с CREAM, чтобы согласовать дальнейшие действия.

Эмилио Франджелла из технической группы другого протокола денежного рынка Aave сказал The Defiant, что ERC-777 требуют особого обращения. 

«Если протокол не имеет надлежащей защиты от повторного входа или не реализован таким образом, чтобы сделать повторный вход безвредным, это может быть использовано для нарушения внутреннего учета протокола. Это может привести, например, к тому, что у пользователя будет гораздо более высокий залог, чем фактически депонированный», — написал Франджелла в Telegram.

The Defiant не смогла сразу связаться с CREAM Finance.

Источник: https://thedefiant.io/cream-attack-23-million-amp-eth/?utm_source=rss&utm_medium=rss&utm_campaign=cream-attack-23-million-amp-eth