Social media
Hakerzy ukradli 29 mln dolarów z platformy kryptowalutowej Cream Finance
Platforma Cream Finance, pozwalająca na swobodny obrót kryptowalutami, stała się celem ataku cyberprzestępców, którzy wykorzystali lukę w zabezpieczeniach cyfrowych walut. Według szacunków wykradli równowartość 29 mln dolarów.
Cream Finance to jedna ze zdecentralizowanych platform finansowych (DeFi), która pozwala użytkownikom obracać kryptowalutami i dokonywać za ich pomocą rozmaitych operacji.
29 mln dolarów dla cyberprzestępców
Niedawno poinformowano, że Cream Finance stała się ofiarą cyberprzestępców. Według szacunków udało im się wyprowadzić z platformy kryptowaluty o łącznej wartości ok. 29 mln dol. Do przestępstwa wykorzystano atak reentrancy w funkcji flash loan, aby ukraść środki w tokenach AMP (szacowane na ok. 25,1 mln dol. w momencie włamania) i w monetach Ethereum (oceniane na ok. 4,15 mln).
Termin flash loan odnosi się do kontraktu (skryptu) działającego na blockchainie Etherium, który umożliwia użytkownikom Cream Finance zaciąganie szybkich pożyczek ze środków firmy, a następnie ich zwrot w późniejszym terminie.
Ataki reentrancy mają miejsce, gdy błąd w tych kontraktach pozwala atakującemu na wielokrotne wypłacanie środków, w pętli, zanim oryginalna transakcja zostanie zatwierdzona lub odrzucona.
Błąd w zabezpieczeniach
Peck Shield i Tal Be'ery, założyciele aplikacji ZenGo do obsługi portfela kryptowalutowego, potwierdzili, że cyberprzestępcy w ataku na Cream Finance wykorzystali błąd w interfejsie tokena ERC777, który jest używany przez Cream Finance do interakcji z bazowym blockchainem Etherium.
Be'ery podkreślił, że ERC777 umożliwił w przeszłości kilka ataków na usługi online DeFi, pomimo złych wdrożeń i błędów.
Założyciel ZenGo powiedział również serwisowi The Record, że usługi DeFi muszą opracować lub wdrożyć system podobny do firewalla dla swoich platform w celu filtrowania złośliwych żądań do ich bazowych kontraktów, które są szkieletem ich usług i celem większości tych włamań.
Według statystyk ataki związane z DeFi stanowiły 76 proc. wszystkich większych incydentów związanych z kryptowalutami w 2021 r., a użytkownicy stracili w tym roku ponad 474 mln dol. w wyniku takich kradzieży.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.