La plateforme de prêts décentralisés Cream Finance a été victime ce lundi matin d’une attaque au « flash loan » impliquant le token AMP.
La plateforme de prêt Cream Finance vient de subir une attaque à plusieurs millions de dollars. Le pirate est parvenu à dérober 418 millions de coins AMP (21,6 millions de dollars), ainsi que 1 308 Ethers (4,2 millions de dollars).
C’est donc un total de 25,8 millions de dollars qui avait subtilisé lors de la rédaction de cet article.
Les « flash loans » (ou « prêts instantanés ») permettent d’effectuer un prêt sans avoir à placer en échange de caution.
Cette attaque avait provoqué la chute du cours de l’AMP ce lundi matin. Le coin était passé de 0,059 dollar à 0,051 dollar à 10h30, soit une baisse de 13,5%.
L’adresse du pirate avait été signalée sur Etherscan. Elle contenait 5 758 ETHs, soit l’équivalent de 18,4 millions de dollars.
Peu avant 10 heures du matin, les équipes de Cream Finance ont publié un communiqué sur Twitter. Elles expliquent être parvenues à empêcher des pertes supplémentaires en « interrompant toutes les offres et les prêts sur le marché AMP ».
C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.
We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.
— Cream Finance 🍦 (@CreamdotFinance) August 30, 2021
PeckShield, une société de cybersécurité, a expliqué que le pirate est parvenu à effectuer un « flash loan » de 500 Ethers. Ceci lui a permis de tirer profit d’un bug dans le « smart contract » Amplefort pour emprunter 19 millions de dollars d’AMP.
3/4 Specifically, in the example tx, the hacker makes a flashloan of 500 ETH and deposit the funds as collateral. Then the hacker borrows 19M $AMP and makes use of the reentrancy bug to re-borrow 355 ETH inside $AMP token transfer(). Then the hacker self-liquidates the borrow. pic.twitter.com/ryVX2RoxhJ
— PeckShield Inc. (@peckshield) August 30, 2021
Cream Finance est une plateforme de finance décentralisée (DeFi) qui permet aux internautes d’engranger des intérêts en plaçant leurs cryptomonnaies. Contrairement à d’autres services concurrents tels que Compound ou Aave, Cream propose de nombreux marchés pour des cryptomonnaies plus confidentielles.
Une autre attaque en février
Cream Finance avait déjà été victime d’une attaque en février dernier. Le pirate avait alors tiré profit d’une faille dans le protocole Homora d’Alpha Finance, engrangeant au passage l’équivalent de 37,5 millions de dollars.
2/ They do this through two transactions and each time they lend the funds back into IronBank, receiving cySUSD.
3/ At some point exploiter took $1.8M USDC flash loan from Aave v2 and swapped USDC to sUSD using Curve. pic.twitter.com/fSheiqZ6lO
— Igor Igamberdiev (@FrankResearcher) February 13, 2021
Il y a quelques semaines, Poly Network, une plateforme qui connecte plusieurs blockchains entre elles, avait été victime d’une attaque record de 611 millions de dollars.
Référence : Decrypt