Денежный рынок и сервис кредитования Cream Finance стал целью разрушительной атаки, в результате которой было украдено более 260 миллионов долларов. Это является второй атакой по сумме убытков в DeFi на сегодняшний день.
We are investigating an exploit on C.R.E.A.M. v1 on Ethereum and will share updates as soon as they are available.
— Cream Finance 🍦 (@CreamdotFinance) October 27, 2021
Согласно интерфейсу Cream, большинство пулов на основе Ethereum сейчас пусты, хотя по состоянию на 23 октября активы составляли 300 миллионов долларов.
Протокол имеет дополнительные $460 млн активов в Binance Smart Chain, Polygon, Avalanche и Fantom, но неясно, находятся ли эти средства в опасности.
Хакер смог получить средства через флэш-кредит, уже ставший стандартной точкой начала атак в DeFi. Он совершил весьма сложную транзакцию, в которой участвовало 68 различных криптовалют и заплатил более 9 ETH за газ. Из украденных $260 млн злоумышленник непосредственно заработал около $130 млн. Но доход может оказаться меньше, так как $40,6 млн находятся в неликвидных токенах crETH, которые злоумышленнику может оказаться трудно продать. В настоящее время хакер пытается отмыть средства.
Протокол Cream Finance уже становился объектом нападений — в феврале хакеры украли из него $37,5 млн, а в августе — $25 млн. Сейчас хакер даже посмеялся над протоколом, назвав его смарт-контракт настоящей «дырой». Пользователи заполняют Твиттер гневными отзывами о слабой защите средств. Из-за шквала негатива, разработчикам даже пришлось закрыть официальный форум.
По данным CryptoSec, на сентябрь этого года из проектов DeFi украдено около 1,7 миллиарда долларов.