Cream Finance perde 18,8 milioni di dollari in un attacco sui prestiti flash

Negli ultimi mesi le piattaforme della finanza decentralizzata (DeFi) hanno perso centinaia di milioni di dollari a causa degli hacker e la situazione continua a peggiorare

Il protocollo dei prestiti DeFi, Cream Finance, ha annunciato lunedì di aver subito un exploit che ha portato ad una perdita di quasi 19 milioni di dollari. Nell’annuncio ufficiale Cream Finance ha scritto che l'hacker ha sfruttato una debolezza nel contratto del token $AMP per eseguire un attacco sul prestito flash.

C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.

We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.

— Cream Finance 🍦 (@CreamdotFinance) August 30, 2021

Secondo gli sviluppatori, durante l'attacco il protocollo ha perso 418.311.571 token AMP e 1.308,09 ETH. Il totale delle criptomonete e dei token persi valeva 18,8 milioni di dollari. A seguito dell'attacco gli sviluppatori di Cream Finance hanno messo in pausa la fornitura e il prestito di AMP.

Cream Finance ha inoltre annunciato che la società di analisi blockchain PeckShield sta conducendo un'analisi approfondita dell'attacco. PeckShield ha condiviso alcuni dei suoi risultati con la comunità delle criptovalute.

PeckShield ha riferito che il contratto $AMP presentava un bug sul rientro dei fondi, fornendo l'ambiente perfetto per un attacco sul prestito flash. Gli attacchi flash loan permettono agli hacker di continuare a prendere in prestito asset con poche garanzie. Questo perché possono continuare a ri-prendere in prestito i fondi finché li restituiscono all'interno dello stesso blocco di transazione.

PeckShield ha asserito che l'aggressore ha effettuato un prestito flash di 500 ETH su Cream Finance, quindi ha depositato i fondi come garanzia e ha proceduto al ritiro dei 19 milioni di token AMP. L'hacker, infine, prima di liquidare il tutto, ha continuato a sfruttare la falla nel contratto $AMP per prendere in prestito altri 355 ETH nella stessa transazione AMP.

L'analisi ha rivelato che l'hacker ha eseguito l'attacco su 17 transazioni, rubando 18,8 milioni di dollari. Al momento non è chiaro chi sia l'hacker, ma PeckShield sta monitorando l'indirizzo ricevente per verificare qualsiasi movimento.

Da inizio anno i protocolli della finanza decentralizza hanno subito numerosi attacchi. Il maggiore di essi è avvenuto ad inizio agosto ed ha colpito Poly Network che ha perso 611 milioni di dollari a causa di un attacco hacker.

L'hacker tuttavia ha cambiato idea e ha restituito i fondi al protocollo. All'hacker è stato offerto il ruolo di consigliere capo della sicurezza del progetto Poly Network e una taglia di 500.000 dollari.