Хакер вывел токены на $37,5 млн из DeFi-протокола Cream Finance

Злоумышленник воспользовался уязвимостью в DeFi-протоколе Iron Bank (вторая версия проекта Cream Finance) и вывел токены на общую сумму $37,5 млн.

«Мы знаем о потенциальной уязвимости и изучаем ее. Спасибо за вашу поддержку в нашем расследовании», — написали представители Cream Finance.

Аналитик The Block Игорь Игамбердиев насчитал $37,5 млн потерь проекта из-за эксплоита. Также он изложил последовательность действий хакера.

«Злоумышленник использовал сервис Alpha Homora, чтобы занять средства у IronBank. Каждый раз он брал в долг вдвое больше, чем в предыдущем случае».

«Делал он это посредством двух транзакций, каждый раз ссужая средства обратно в IronBank и получая cySUSD.

В какой-то момент злоумышленник получил USDC на $1,8 млн, воспользовавшись мгновенным займом на платформе Aave. Затем он обменял USDC на sUSD при помощи Curve».

После этого он разместил sUSD в IronBank. Это позволило хакеру продолжить занимать и предоставлять средства, получая на выходе cySUSD.

«Конечно, некоторые sUSD были потрачены на погашение мгновенного займа», — подчеркнул исследователь.

«Был взят мгновенный займ на $10 млн, который также был задействован для увеличения числа sUSD. В конечном итоге cySUSD в его распоряжении достигло такого количества, что это позволило занимать что угодно в IronBank».

Затем злоумышленник взял в долг:

  • 13 200 WETH;
  • 3,6 млн USDC;
  • 5,6 млн USDT;
  • 4,2 млн DAI.

После этого он депонировал стейблкоины на различные сервисы, включая Aave (v2) и Alpha Homora (1000 ETH). Почти 11 000 ETH остались на адресе злоумышленника, 100 ETH он пожертвовал сервису микширования Tornado.Cash, а 1000 ETH отправил на адрес контракта IronBank.

На фоне произошедшего цена токена CREAM упала с отметок в районе $290 до $220.

Напомним, 5 февраля неизвестный хакер вывел $2,8 млн из пула yEarn.Finance. Вскоре DeFi-проект возместил потери пула в результате атаки.

Подписывайтесь на наш Telegram и будьте в курсе последних новостей!
Чтобы оставить комментарий необходимо или зарегистрироваться