Хакер #305. Многошаговые SQL-инъекции
Вчера, 30 августа 2021 года, хакеры похитили у DeFi-платформы Cream Finance криптовалютные активы на сумму более 29 миллионов долларов.
Первый признаки атаки зафиксировала компания PeckShield, специализирующаяся на блокчейн-безопасности, а вскоре происходящее подтвердили и сами разработчики Cream Finance.
C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.
— Cream Finance ? (@CreamdotFinance) August 30, 2021
We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.
Специалисты пишут, что неизвестный хакер использовал reentrancy-атаку, направленную против функции мгновенного кредитования (flash loan), и в итоге похитил у Cream Finance 418 311 571 токен AMP (на момент взлома примерно 25,1 миллиона долларов), а также 1308,09 ETH (примерно в 4,15 миллиона долларов).
Термином flash loan в данном случае обозначаются контракты на блокчейне Etherium, которые позволяют пользователям Cream Finance брать быстрые ссуды из средств компании, а затем возвращать их. Reentrancy-атаки работают за счет ошибки в этих контрактах и позволяют злоумышленнику запустить повторный вывод средств в цикле (прежде чем исходная транзакция будет одобрена или отклонена, а средства должны быть возвращены).
Издание The Record пишет, что создатель криптовалютного приложения ZenGo и специалисты PeckShield подтвердили, что при взломе Cream Finance использовалась ошибка в интерфейсе контракта токена ERC777, который применяется Cream Finance для взаимодействия с базовым блокчейном Etherium.
1/ #Defi needs an Application Firewall ??
— Tal Be'ery (@TalBeerySec) August 30, 2021
The attack involved 17 Txs.
If there was a solution to automatically identify such exploitation and close some safety valve to halt system, then the damage would have been 1/17 < 6% or only ~1M instead of ~18M. https://t.co/qEbTgdx3Jc