Social media

Hakerzy ukradli 29 mln dolarów z platformy kryptowalutowej Cream Finance

Fot.: Jievani Weerasinghe/Unsplash
Fot.: Jievani Weerasinghe/Unsplash

Platforma Cream Finance, pozwalająca na swobodny obrót kryptowalutami, stała się celem ataku cyberprzestępców, którzy wykorzystali lukę w zabezpieczeniach cyfrowych walut. Według szacunków wykradli równowartość 29 mln dolarów.

Cream Finance to jedna ze zdecentralizowanych platform finansowych (DeFi), która pozwala użytkownikom obracać kryptowalutami i dokonywać za ich pomocą rozmaitych operacji.

29 mln dolarów dla cyberprzestępców 

Niedawno poinformowano, że Cream Finance stała się ofiarą cyberprzestępców. Według szacunków udało im się wyprowadzić z platformy kryptowaluty o łącznej wartości ok. 29 mln dol. Do przestępstwa wykorzystano atak reentrancy w funkcji flash loan, aby ukraść środki w tokenach AMP (szacowane na ok. 25,1 mln dol. w momencie włamania) i w monetach Ethereum (oceniane na ok. 4,15 mln).

Termin flash loan odnosi się do kontraktu (skryptu) działającego na blockchainie Etherium, który umożliwia użytkownikom Cream Finance zaciąganie szybkich pożyczek ze środków firmy, a następnie ich zwrot w późniejszym terminie.

Ataki reentrancy mają miejsce, gdy błąd w tych kontraktach pozwala atakującemu na wielokrotne wypłacanie środków, w pętli, zanim oryginalna transakcja zostanie zatwierdzona lub odrzucona.

Błąd w zabezpieczeniach

Peck Shield i Tal Be'ery, założyciele aplikacji ZenGo do obsługi portfela kryptowalutowego, potwierdzili, że cyberprzestępcy w ataku na Cream Finance wykorzystali błąd w interfejsie tokena ERC777, który jest używany przez Cream Finance do interakcji z bazowym blockchainem Etherium.

Be'ery podkreślił, że ERC777 umożliwił w przeszłości kilka ataków na usługi online DeFi, pomimo złych wdrożeń i błędów.

Założyciel ZenGo powiedział również serwisowi The Record, że usługi DeFi muszą opracować lub wdrożyć system podobny do firewalla dla swoich platform w celu filtrowania złośliwych żądań do ich bazowych kontraktów, które są szkieletem ich usług i celem większości tych włamań.

Według statystyk ataki związane z DeFi stanowiły 76 proc. wszystkich większych incydentów związanych z kryptowalutami w 2021 r., a użytkownicy stracili w tym roku ponad 474 mln dol. w wyniku takich kradzieży.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected] Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.

image
Fot. Reklama

Komentarze