La plateforme de prêts décentralisés Cream Finance a été victime ce lundi matin d’une attaque au « flash loan » impliquant le token AMP.
C’est donc un total de 25,8 millions de dollars qui avait subtilisé lors de la rédaction de cet article.
Les « flash loans » (ou « prêts instantanés ») permettent d’effectuer un prêt sans avoir à placer en échange de caution.
Cette attaque avait provoqué la chute du cours de l’AMP ce lundi matin. Le coin était passé de 0,059 dollar à 0,051 dollar à 10h30, soit une baisse de 13,5%.
L’adresse du pirate avait été signalée sur Etherscan. Elle contenait 5 758 ETHs, soit l’équivalent de 18,4 millions de dollars.
Peu avant 10 heures du matin, les équipes de Cream Finance ont publié un communiqué sur Twitter. Elles expliquent être parvenues à empêcher des pertes supplémentaires en « interrompant toutes les offres et les prêts sur le marché AMP ».
PeckShield, une société de cybersécurité, a expliqué que le pirate est parvenu à effectuer un « flash loan » de 500 Ethers. Ceci lui a permis de tirer profit d’un bug dans le « smart contract » Amplefort pour emprunter 19 millions de dollars d’AMP.
Cream Finance est une plateforme de finance décentralisée (DeFi) qui permet aux internautes d’engranger des intérêts en plaçant leurs cryptomonnaies. Contrairement à d’autres services concurrents tels que Compound ou Aave, Cream propose de nombreux marchés pour des cryptomonnaies plus confidentielles.
Une autre attaque en février
Cream Finance avait déjà été victime d’une attaque en février dernier. Le pirate avait alors tiré profit d’une faille dans le protocole Homora d’Alpha Finance, engrangeant au passage l’équivalent de 37,5 millions de dollars.
Il y a quelques semaines, Poly Network, une plateforme qui connecte plusieurs blockchains entre elles, avait été victime d’une attaque record de 611 millions de dollars.
Référence : Decrypt