Crypto Platformの「CreamFinance」が攻撃され、3000万ドル以上のトークンが盗まれました

新しい暗号通貨プラットフォーム攻撃は、全体として非常に安全であるという暗号の概念に影を落としました。この攻撃は、自身を「個人向けの分散型貸付プロトコル」と表現しているエンティティであるCreamFinanceを標的にしていました。

この攻撃は、ハッカーがAMPトークンで約2400万ドル、イーサリアムトークンでさらに約1000万ドルを盗むことを可能にする脆弱性を悪用しました。

Cream Financeによると、攻撃は8月31日に発生しました。その後の詳細な分析により、ハッカーはAMPトークンの契約と機能が交換で利用された方法に起因する再入可能性のバグを利用したことがわかりました。

Cream FinanceのWebサイトには、ハッカーが2番目の「借用」機能を「ネスト」して最初の機能が更新される前に実行する方法を説明する詳細な投稿があります。同じ投稿では、この問題はAMPのコード内の「バグまたは問題」が原因ではないと述べています。

ブロックチェーンセキュリティでよく知られているセキュリティ会社PeckShieldの助けを借りて問題を調査した後、Cream Financeは、AMPがCreamのプラットフォーム内に統合および実装され、Creamが問題を抱えていた方法がバグの原因であることを発見しました。

Creamはまた、盗まれたトークンをクライアントに補償すると述べています。 DeFiプラットフォームは、悪意のある攻撃者が盗んだトークンを喜んで返す場合、ハッカーが盗んだ暗号の10%を影響なしに保持できるようにすることもできます。これは、実際の犯罪を伴わずに、いくらか同様の状況でかなりの数のバグ報奨金を支払う企業がいくつあるかを考えると、それほど珍しいことではありません。

クリームファイナンスは、ハッカーが協力しない場合にハッカーを罰することを試みるために、別のより大胆なアプローチを取っています。このプラットフォームは、盗まれた合計の50%を、悪意のある俳優の身元に関する信頼できる情報を提供した人にヘッドハンターの報奨金として提供し、それが逮捕につながります。

ZDNetは、CreamFinanceが攻撃の成功の標的になったのはこれが初めてではないことを思い出させます。 2021年2月、別のエクスプロイトを使用した別の攻撃により、3,700万ドル以上の損失が発生しました。これは、この種の最大の暗号盗難でもありません。 2021年8月初旬、DeFiプラットフォームのPoly Networkは、5億ドル以上の暗号トークンを排出することに成功した1人の攻撃者に見舞われました。