DeFi-Plattform Cream Finance gehackt: 19 Millionen US-Dollar gestohlen
Ein unbekannter Hacker hat es geschafft, bei einem Flash-Kredit-Hack 18,8 Millionen US-Dollar von der bekannten Plattform Cream Finance zu stehlen. Dabei machte er sich einen Fehler zu Nutze, der durch die Einführung des Amp-Token entstand, wie aus einer Ermittlung der Blockchain-Sicherheitsfirma HackShield hervorgeht.
Als Cream Finance in Hack am Montag öffentlich machte, erklärte die Plattform, sie habe derartige Angriffe unterbunden, indem sie Leihkontrakte mit dem Amp-Token pausierte. “Keine anderen Märkte waren davon betroffen”, wie Cream Finance erklärte.
Der CREAM v1-Markt auf Ethereum hat einen Exploit erlitten, der durch den Wiedereintritt in den AMP-Token-Vertrag zu einem Verlust von 418.311.571 in AMP und 1.308,09 in ETH führte.
Wir haben den Exploit gestoppt, indem wir das Angebot pausieren und bei AMP ausleihen. Andere Märkte waren nicht betroffen.
— Cream Finance (@CreamdotFinance) 30. August 2021
PeckShield erläuterte dazu, der Hacker habe eine Schwachstelle beim Amp-Token genutzt, in dem er Vermögenswerte immer wieder während des Transfers auslieh, bevor er den ersten zum ausleihen aktualisierte. Das tat er in 17 Transaktionen. Die Sicherheitsfirma hat ein Beispiel für eine solche Transaktion genannt: “der Hacker nahm einen Fleisch-Kredit in Höhe von 500 ETH und hinterlegte das Geld als Sicherheit. Dann leiht sich der Hacker 19.000.000 $AMP, nutzt den Wiedereintrittsfehler aus und leiht sich dabei noch einmal 355 ETH in $AMP-Token Transfer. Dann lässt der Hacker das, was er sich ausgeliehen hat, sich selbst liquidieren.”
“Das Geld ist immer noch auf der Adresse 0xCE1F….6EDE. Wir überwachen diese Adresse aktiv auf jegliche Bewegung”, so PeckShield über die Adresse des Hackers.
Amp ist ein Token, der auf Ethereum basiert. Er dient dem Zweck, Zahlungen auf dem digitalen Zahlungsnetzwerk Flexa zu besichern. Der Ent-Token-Kontrakt implementiert ERC-77-basierte Register-Smart-Contracts, die auch als ERC-1820 bekannt sind. Der ERC-1820-Standard wurde im Jahr 2019 eingeführt und definiert einen universellen Register-Smart-Contract, bei dem jede Adresse “registrieren kann, welches Interface es unterstützt und welcher Smart Contract für dessen Implementierung verantwortlich ist”.
In diesem Zusammenhang: Nach Angriff im Mai: DeFi-Projekt xToken erneut gehackt
Nach dem Angriff haben der Amp-Token und der firmeneigene Token von Cream Finance CREAM einen beträchtlichen Rückgang verzeichnet. Amp ist dabei um fast 13 Prozent in den letzten 24 Stunden gefallen. Bei Redaktionsschluss Lege den Amp-Token bei 0,051908 US-Dollar, während CREAM bei 167 US-Dollar lag. Damit ist dieser um 5 Prozent gefallen, wie aus Daten von CoinGecko hervorgeht.
Wie Cointelegraph bereits berichtete, wurde DeFi-Plattform Alpha Homora im Februar ebenfalls gehackt und dabei 37 Millionen US-Dollar gestohlen. Dabei wurde eine Schwachstelle auf der Kreditplattform Iron Bank von Cream ausgenutzt.
In letzter Zeit gibt es immer mehr Hackerangriffe auf zentralisierte und dezentralisierte Kryptowährungsplattformen. Am Samstag gab es bei der Kryptobörse Bilaxy einen Hot-Wallet-Hack, bei dem 295 ERC-20-Token manipuliert wurden. Liquid hat fast 100 Millionen US-Dollar bei einem Hack am 19. August verloren.