Протокол Cream Finance взломан второй раз за год

Протокол кредитования Cream Finance подвергся второй за год атаке на флэш-кредиты и лишился более 25 миллионов долларов.

Первой атаку обнаружила компания по безопасности блокчейнов PeckShield. Она указала на транзакции Ethereum, показывающие, что из протокола было выведено не менее $6 млн. Позднее разработчики Cream Finance подтвердил взлом через Твиттер, добавив, что было украдено 418311571 AMP и 1308,09 ETH.

Как сообщил в Discord менеджер по продуктам Cream Finance Исон Ву, основной причиной инцидента стало предоставление кредита на токены AMP. По его словам, другие средства протокола остаются в безопасности.

Анализ PeckShield показывает, что хакер взял кредит в 500 ETH и разместил его в качестве залога для заимствования 19 млн AMP. Затем хакер повторно занял 355 ETH внутри передачи токенов AMP, используя ошибку повторного входа. Он самоликвидировал заем и повторил процесс несколько раз.

Атаки с использованием флеш-кредитов используют одну из самых спорных особенностей DeFi — кредиты, не требующие залога. Из-за такой же атаки Cream Finance потерял 37 миллионов долларов в начале этого года.