Согласно некоторым данным, DeFi-протокол Cream Finance подвергся хакерской атаке. Точной информации нет, потому что сами разработчики протокола на момент написания не выступили с заявлением, они лишь сообщили, что исследовали «потенциальную уязвимость» и ничего не нашли. Однако по неофициальным данным хакеры украли не менее 13 тыс ETH (более 23 миллионов долларов).
Предположительно, эксплойт связан с контрактами Iron Bank. Часть украденных средств прошла через микшер Tornado Cash, еще 1000 ETH были отправлены в Alpha Homora Deployer, 1000 ETH переведены в сам Cream Finance и 100 ETH в грант Tornado Cash.
Атака являлась сложным многоэтапным процессом, который предполагает, что злоумышленник был опытным пользователем DeFi. Он использовал протокол Alpha Homora чтобы занять sUSD. Затем эти средства были внесены обратно в Iron Bank в качестве ссуды для получения cySUSD. Злоумышленник также брал крупные флеш-кредиты cySUSD в Aave.
Система Iron Bank является нововведением, появившемся в версии CREAM v2. Она представляет собой платформу для межпротокольного кредитования и осуществляет поддержку ликвидности для экосистемы DeFi. По последним данным в Iron Bank заблокированы токены AAVE на $6,1 млрд и токены CREAM на $1,07 млрд.
