DeFiプロジェクトのクリームファイナンスは2500万ドルのエクスプロイトに苦しんでいます

Cream Financeは、大規模なセキュリティ攻撃を報告し、2500万ドルの損失をもたらしました。

クリームファイナンスエクスプロイトの背後にある再入可能バグ

クリームファイナンスが悪用されました。

DeFi 貸付プロトコルは、そのCREAMV1市場が月曜日に標的にされたと報告しました。

イーサリアムのCREAMv1市場は悪用され、AMPトークン契約への再入可能により、AMPで418,311,571、ETHで1,308.09の損失が発生しました。

AMPでの供給と借用を一時停止することで、エクスプロイトを阻止しました。 他の市場は影響を受けませんでした。

—クリームファイナンス🍦（@CreamdotFinance） 2021年8月30日

ハッカーは、dApp内にリストされているコンセンシスが支援するデジタル担保トークンであるAMPのトークン契約の再入可能バグを利用しました。

このエクスプロイトにより、ハッカーは4180万のAMPトークンと1308.09のETHを盗むことができました。 約2500万ドルの価値があります。 AMPトークンの供給と借用が一時停止されました。

ハッカーは、再入可能性のバグを悪用する前に、フラッシュローンを使用してハッキングを実行しました。 再入可能性ベースの脆弱性は、スマートコントラクトで最も一般的なタイプのセキュリティバグの1つです。

Cream Financeは、Compoundからインスピレーションを得た貸付および借入プロトコルです。 DeFiブルーチップをフォークし、さまざまな資産プールと独自のガバナンストークンを追加しました。 AMP 再入可能機能を可能にするERC-1820（ERC-777に基づく）トークン標準を使用しました。

最初の分析を主導したスマートコントラクトセキュリティ会社のPeckShieldは、Crypto Briefingに、「化合物ベースの貸付プロトコルとERC-777のようなトークンの間に構成可能性のリスクがある」と語った。

PeckShieldの 分析 エクスプロイトが始まったのは ハッカーがフラッシュローンを組んだ 500 ETHの金額を担保として預け入れ、1900万のAMPトークンを借り入れました。 次に、ハッカーは再入可能性のバグを利用して355ETHを再借用しました。 ハッカーはローンを自己清算し、資金を引き出すためにこのプロセスを複数回繰り返しました。

CREAMトークンは、フォールアウトで比較的マイナーなヒットを受け、4.8％下落して約167ドルになりました。 クリームファイナンスとペックシールドの両方がまだ攻撃を調査している間、事後分析はまもなく続く予定です。

このニュースは、私たちの優先DeFiパートナーであるANKRによってもたらされました。