Cream Finance erlebt einen Flash Loan-Angriff

Dezentrale Finanzplattformen (DeFi) haben in den letzten Monaten Hunderte von Millionen US-Dollar durch Hacker verloren, und die Situation spitzt sich weiter zu

Das DeFi-Lending-Protokoll Cream Finance gab gestern bekannt, dass es von einem Exploit betroffen war, der zu einem Verlust von fast 19 Millionen US-Dollar führte. In einer offiziellen Ankündigung erklärte Cream Finance gestern, dass der Hacker eine Schwachstelle im $AMP-Token-Vertrag nutzte, um einen Flash Loan-Angriff durchzuführen.

C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.

We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.

— Cream Finance 🍦 (@CreamdotFinance) August 30, 2021

Nach Angaben der Entwickler verlor das Protokoll infolge des Angriffs 418.311.571 AMP-Token und 1.308,09 ETH-Coins. Die insgesamt gestohlenen Coins und Token waren 18,8 Millionen US-Dollar wert. Nach der Attacke pausierten die Cream Finance-Entwickler das AMP-Angebot und die Ausleihe.

Cream Finance gab außerdem bekannt, dass das Blockchain-Analyseunternehmen PeckShield derzeit eine Analyse des Angriffs durchführe. PeckShield teilte einige seiner Ergebnisse mit der Kryptowährungs-Community.

Laut PeckShield bringt der $AMP-Vertrag einen Reentrancy-Bug mit sich, der die perfekte Umgebung für einen Flash Loan-Angriff bietet. Flash Loan Attacks ermöglichen es Hackern, sich Vermögenswerte mit geringen Sicherheiten zu leihen. Der Grund dafür ist, dass sie sich das Geld immer wieder leihen können, solange sie es innerhalb desselben Transaktionsblocks zurückgeben.

PeckShield sagte, dass der Angreifer mit Cream Finance ein Flash-Darlehen von 500 ETH durchführte, die Mittel als Sicherheit hinterlegte und dann 19 Millionen AMP-Token abhob. Der Hacker nutzte anschließend den Reentrancy-Fehler im $AMP-Kontrakt aus, um sich innerhalb derselben AMP-Transaktion weitere 355 ETH zu leihen, bevor er sie liquidierte.

Die Analyse ergab, dass der Hacker den Angriff über 17 Transaktionen ausgeführt und dabei 18,8 Millionen US-Dollar gestohlen hatte. Im Moment die Identität des Hackers unbekannt, aber PeckShield überwacht die Empfängeradresse weiter auf mögliche Bewegungen.

Die dezentralen Finanzprotokolle waren seit Anfang des Jahres von zahlreichen Angriffen betroffen. Der größte davon ereignete sich Anfang dieses Monats, als Poly Network 611 Millionen US-Dollar an einen Hacker verlor.

Der Hacker hatte allerdings einen Sinneswandel und gab die Gelder an das Protokoll zurück. Dem Hacker wurde die Rolle des leitenden Sicherheitsberaters für das Poly Network-Projekt und eine Prämie von 500.000 US-Dollar angeboten.