DeFi : Cream Finance victime d’une attaque au « flash loan » à 25 millions de dollars

La pla­te­forme de prêts décen­tra­li­sés Cream Finance a été vic­time ce lun­di matin d’une attaque au « flash loan » impli­quant le token AMP.

La pla­te­forme de prêt Cream Finance vient de subir une attaque à plu­sieurs mil­lions de dol­lars. Le pirate est par­ve­nu à déro­ber 418 mil­lions de coins AMP (21,6 mil­lions de dol­lars), ain­si que 1 308 Ethers (4,2 mil­lions de dollars).

C’est donc un total de 25,8 mil­lions de dol­lars qui avait sub­ti­li­sé lors de la rédac­tion de cet article.

Les « flash loans » (ou « prêts ins­tan­ta­nés ») per­mettent d’ef­fec­tuer un prêt sans avoir à pla­cer en échange de caution.

Cette attaque avait pro­vo­qué la chute du cours de l’AMP ce lun­di matin. Le coin était pas­sé de 0,059 dol­lar à 0,051 dol­lar à 10h30, soit une baisse de 13,5%.

L’a­dresse du pirate avait été signa­lée sur Ethers­can. Elle conte­nait 5 758 ETHs, soit l’é­qui­valent de 18,4 mil­lions de dol­lars.

Peu avant 10 heures du matin, les équipes de Cream Finance ont publié un com­mu­ni­qué sur Twit­ter. Elles expliquent être par­ve­nues à empê­cher des pertes sup­plé­men­taires en « inter­rom­pant toutes les offres et les prêts sur le mar­ché AMP ».

C.R.E.A.M. v1 mar­ket on Ethe­reum has suf­fe­red an exploit, resul­ting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reen­tran­cy on the AMP token contract.

We have stop­ped the exploit by pau­sing sup­ply and bor­row on AMP. No other mar­kets were affected.

— Cream Finance 🍦 (@CreamdotFinance) August 30, 2021

Peck­Shield, une socié­té de cyber­sé­cu­ri­té, a expli­qué que le pirate est par­ve­nu à effec­tuer un « flash loan » de 500 Ethers. Ceci lui a per­mis de tirer pro­fit d’un bug dans le « smart contract » Ample­fort pour emprun­ter 19 mil­lions de dol­lars d’AMP.

3/4 Spe­ci­fi­cal­ly, in the example tx, the hacker makes a fla­sh­loan of 500 ETH and depo­sit the funds as col­la­te­ral. Then the hacker bor­rows 19M $AMP and makes use of the reen­tran­cy bug to re-bor­row 355 ETH inside $AMP token trans­fer(). Then the hacker self-liqui­dates the bor­row. pic.twitter.com/ryVX2RoxhJ

— Peck­Shield Inc. (@peckshield) August 30, 2021

Cream Finance est une pla­te­forme de finance décen­tra­li­sée (DeFi) qui per­met aux inter­nautes d’en­gran­ger des inté­rêts en pla­çant leurs cryp­to­mon­naies. Contrai­re­ment à d’autres ser­vices concur­rents tels que Com­pound ou Aave, Cream pro­pose de nom­breux mar­chés pour des cryp­to­mon­naies plus confi­den­tielles.

Une autre attaque en février

Cream Finance avait déjà été vic­time d’une attaque en février der­nier. Le pirate avait alors tiré pro­fit d’une faille dans le pro­to­cole Homo­ra d’Al­pha Finance, engran­geant au pas­sage l’é­qui­valent de 37,5 mil­lions de dol­lars.

2/ They do this through two tran­sac­tions and each time they lend the funds back into Iron­Bank, recei­ving cySUSD.

3/ At some point exploi­ter took $1.8M USDC flash loan from Aave v2 and swap­ped USDC to sUSD using Curve. pic.twitter.com/fSheiqZ6lO

— Igor Igam­ber­diev (@FrankResearcher) Februa­ry 13, 2021

Il y a quelques semaines, Poly Net­work, une pla­te­forme qui connecte plu­sieurs blo­ck­chains entre elles, avait été vic­time d’une attaque record de 611 mil­lions de dol­lars.

Réfé­rence : Decrypt