La plate-forme crypto 'Cream Finance' attaquée, plus de 30 millions de dollars de jetons volés

Une nouvelle attaque de plate-forme de crypto-monnaie a jeté une ombre sur la notion de crypto dans son ensemble étant extrêmement sécurisée. L'attaque visait Cream Finance, une entité qui se décrit comme un "protocole de prêt décentralisé pour les particuliers".

L'attaque a exploité une vulnérabilité qui a permis aux pirates de voler environ 24 millions de dollars en jetons AMP et environ 10 millions de dollars en jetons Ethereum.

Selon Cream Finance, l'attaque a eu lieu le 31 août. Une analyse détaillée ultérieure a montré que les pirates ont profité d'un bogue de réentrée qui découlait de la façon dont les contrats et les fonctions des jetons AMP étaient utilisés dans l'échange.

Il y a un article détaillé sur le site Web de Cream Finance qui explique comment les pirates ont réussi à « imbriquer » une deuxième fonction « d'emprunt » et à l'exécuter avant que la première ne soit mise à jour. Le même message indique que le problème n'était pas dû à un "bug ou problème" dans le code d'AMP.

Après avoir enquêté sur la question avec l'aide de la société de sécurité PeckShield - un nom bien connu dans le domaine de la sécurité blockchain, Cream Finance a découvert que le bogue était dû à la façon dont AMP avait été intégré et implémenté dans la plate-forme de Cream et Cream était responsable du problème.

Cream a également déclaré qu'ils indemniseraient les clients pour tout jeton volé. La plate-forme DeFi est également prête à laisser les pirates conserver 10% de la crypto volée sans aucune répercussion, si les mauvais acteurs restituent volontairement les jetons qu'ils ont volés. Ce n'est pas trop inhabituel, compte tenu du nombre d'entreprises qui paient des primes importantes pour les bogues dans des circonstances quelque peu similaires, sans qu'aucun crime réel ne soit impliqué.

Cream Finance adopte une autre approche plus audacieuse pour tenter de punir les pirates informatiques au cas où ils ne coopéreraient pas. La plate-forme offre 50% du total volé comme paiement de récompense de prime de chasseur de têtes pour toute personne qui fournit des informations fiables sur l'identité du mauvais acteur, ce qui conduit à son tour à son arrestation.

ZDNet rappelle que ce n'est pas la première fois que Cream Finance est la cible d'une attaque réussie. En février 2021, une autre attaque utilisant un autre exploit a entraîné la perte de plus de 37 millions de dollars. Ce n'est pas non plus le plus gros vol de crypto de ce genre. Début août 2021, la plate-forme DeFi Poly Network a été touchée par un seul attaquant qui a réussi à drainer plus d'un demi-milliard de dollars de jetons cryptographiques.