Хакер украл $37,5 млн из DeFi-протокола Cream Finance

Хакер украл $37,5 млн из DeFi-протокола Cream Finance

Воспользовавшись уязвимостью DeFi-протокола Iron Bank (вторая версия проекта Cream Finance), неизвестный хакер украл токены на общую сумму $37,5 млн.

«Нам известная потенциальная уязвимость и занимаемся этим вопросом. Благодарим за поддержку в расследовании», — сообщили представители Cream Finance.

Последовательность действий хакера уже изучил и описал аналитик The Block Игорь Игамбердиев. Он также насчитал $37,5 млн потерь проекта из-за эксплоита.

«Хакером был использован сервис Alpha Homora, чтобы занять средства у IronBank. Каждый раз он брал в долг вдвое больше, чем в предыдущем случае».

«Проводил он это, используя две транзакции, каждый раз ссужая средства обратно в IronBank и получая cySUSD.

Получив USDC на $1,8 млн, он воспользовался мгновенным займом на платформе Aave. Затем обменял USDC на sUSD, использовав Curve».

После этого этапа хакер разместил sUSD в IronBank. Благодаря этому он смог продолжить занимать и предоставлять средства, получая на выходе cySUSD.

«Естественно, часть sUSD были потрачены на погашение мгновенного займа», — написал исследователь.

«Вскоре был взят займ на $10 млн для увеличения числа sUSD. По итогу, cySUSD в его распоряжении достигло такого количества, что это позволило занимать что угодно в IronBank».

Порядок займов злоумышленника:

  • 13 200 WETH;
  • 3,6 млн USDC;
  • 5,6 млн USDT;
  • 4,2 млн DAI.

После всех действий, хакер депонировал стейблкоины на различные сервисы: Aave (v2) и Alpha Homora (1000 ETH). Около 11 000 ETH остались на адресе злоумышленника, 100 ETH он пожертвовал сервису микширования Tornado.Cash, а 1000 ETH отправил на адрес контракта IronBank.

Из-за этого стоимость токена CREAM упала с отметок в районе $290 до $220.

Не забудьте подписаться на обновления сайта «MyCrypter» в удобной для вас соцсети и получать первыми новости мира Крипто.

Смотрите также