Из-за уязвимости DeFi-проект Cream Finance потерял $25 миллионов

CryptoPro

DeFi-проект Cream Finance сообщил о серьезной атаке на систему безопасности, что привело к потерям в сумме $25 миллионов

"Ethereum-рынок CREAM V1 подвергся эксплойту, что привело к потерям 418 311 571 AMP и 1 308 ETH. Причиной потерь стала реентерабельность в контракте токена AMP. Мы прекратили действие эксплойта, приостановив работу с AMP. Остальные рынки не пострадали. Хакер воспользовался ошибкой реентерабельности в контракте токена", – сообщается в твиттере проекта

Хакер произвел взлом, используя флэш-кредит, прежде чем использовать ошибку реентерабельности. Связанные с реентерабельностью ошибки являются одним из наиболее распространенных типов ошибок безопасности в смарт-контрактах.

Cream Finance - это протокол кредитования и заимствования, созданный по образцу Compound. Он добавил пулы различных активов и собственный токен управления. AMP использовал стандарт токенов ERC-1820 (на базе ERC-777), который позволял использовать функцию реентерабельности.

Фирма в области безопасности смарт-контрактов PeckShield провела первоначальный анализ и сообщила, что может существовать риск взаимосвязи между протоколами кредитования на базе Compound и токенами наподобие ERC-777.

Анализ PeckShield показывает, что эксплойт стартовал с флеш-кредита в 500 ETH. Хакер депонировал его как обеспечение для заимствования 19 миллионов токенов AMP. Потом он повторно занял 355 ETH, используя ошибку реентерабельности. Хакер ликвидировал ссуду и повторил процесс несколько раз в целях получения средств.

Токен CREAM незначительно пострадал, упав на 5% до уровня $165.

Ivan Ivanov

тут проект вовремя сориентировался и потерял относительно немного. раз курс токена остался относительно стабильным, значит потери несущественные для проекта.

Gandler

Участник @cryptopro написал в Из-за уязвимости DeFi-проект Cream Finance потерял $25 миллионов:

Токен CREAM незначительно пострадал, упав на 5% до уровня $165.

И рынок особо не отреагировал и удивительно, что и цена криптовалюты не упала. Были примеры токенов, которым удавалось вернуть средства, но после падения цены они уже не могли оправится и цена шла в боковик при минимальных ценах.

Ivan Ivanov

@gandler тут сумма небольшая для проекта, поэтому и реакции особой нет. если бы украли 250 миллионов, то эффект был бы другим.

Limon1986

Да все эти Дефи проекты лепят на скорую руку, чтобы побыстрее собрать денежные средства и совсем не думают о безопасности.

Gandler

@limon1986 ну на самом деле это не так легко сделать - безопасный проект. Я сейчас изучаю техническую часть Defi. Очень интересная вещь.

Limon1986

@gandler Ну вот есть проект, который вообще 2 раза взламывали, но он кстати до сих пор работает и функционирует скажем так.

Gandler

@limon1986 функционировать это не значит что всё с ним хорошо. Я знаю примеры, даже если средства возвращались после кражи, сам токен крипты в которой украли, уже никогда не возвращается к былым максимумам.

Ivan Ivanov

@gandler так это логично, потому что доверие к проекту теряется и многие уже не хотят рисковать во второй раз.

Limon1986

@gandler Это самый дорогой актив из Дефи сектора, он какое то время даже дороже Биткоина стоил, вон Ваня название помнит если что.

Scott Shelby

@limon1986
Вот именно. Решили сэкономить на безопасности и вот во что это вылилось. Скупой платит дважды, как говорится.

Limon1986

@scott-shelby там просто так получилось что они собственно были первопроходцами в Дефи направление и соответственно все удары первые пришлись именно на них.

Gandler

@ivan-ivanov что за название у токена, который однажды стоил дороже биткоина? Что-то я такое помню.

Ivan Ivanov

@gandler YFI называется. правда, сейчас его курс уже ниже курса биткоина, но максимум был около 80к.

Scott Shelby

@limon1986
Вот как, я не знал. В любом случае, для других DeFi это будет показательно, что нужно вовремя латать дыры в системе, чтобы не повторить такую судьбу.

Limon1986

@ivan-ivanov Да сам помнишь как его тогда довольно быстро раскачали, он буквально полетел вверх.
@scott-shelby Да ничего они не латают, новые вообще дырявые на рынок выходят.