Cream finance, протокол заимствования и кредитования по умолчанию, стал жертвой взлома, в результате которого из его хранилищ было похищено более 29 миллионов долларов. Злоумышленник воспользовался лазейкой в реализации для добавления токена amp в протокол.
Это уже второй случай взлома платформы. Первый случился в феврале, и тогда Cream потерял 37,5 миллиона долларов.
По словам Peckshield, компании, занимающейся безопасностью блокчейнов и аналитикой данных, взлом был совершен всего за одну транзакцию с использованием ошибки повторного входа, присутствующей в коде валюты amp.
Это позволило хакеру повторно заимствовать активы во время передачи перед обновлением первого заимствования. Эксплойт был повторен 17 раз и позволил хакеру заполучить 418 311 571 amp (стоимостью 25,1 миллиона долларов) и 1308,09 эфириума (стоимостью 4,15 миллиона долларов). Платформа была проверена Trails Of Bits, исследовательской и консалтинговой фирмой по кибербезопасности, до включения токена amp.
Cream объявил, что остановил использование. Протокол также проинформировал пользователей, что никакие другие рынки не пострадали.
Это не первый случай взлома Cream. Менее полугода назад платформа также пострадала от взлома, позволившего злоумышленнику вывести 37,5 миллиона долларов. Вторжение с использованием невыпущенной версии контракта Alpha Finance, другого протокола defi, использовал ошибку округления в коде и функцию белого списка. Получив контроль над средствами, злоумышленник отправил их на Tornado.cash, протокол, который разрешает частные транзакции в Ethereum.
К счастью, во время этого первого взлома средства пользователей не пострадали. Однако он показывает, что среда defi очень сложна и даже небольшое изменение протокола (например, добавление валюты или внесение в белый список другой платформы) может иметь большое влияние на безопасность в будущем.
Взят средний курс по биржам
