„DeFi“ platformos kremo finansai nulaužti, pavogti milijonai kriptografinių žetonų
Decentralizuota finansų platforma „Cream Finance“ tapo sėkmingo įsilaužimo taikiniu. Išpuolio metu buvo pavogta daugiau nei 30 milijonų dolerių AMP ir ETH žetonų.
„Cream Finance“ jau pareiškė, kad visi nuostoliai, paveikę platformos vartotojus, bus kompensuoti.
Įsilaužimas piktnaudžiavo tuo, kaip „Cream Finance“ savo platformoje įdiegė AMP. „Cream“ oficialiame pareiškime labai aiškiai nurodė, kad problema kilo ne dėl pažeidžiamumo ar klaidos su AMP kodu, bet dėl blogo „Cream“ diegimo, iš esmės jai priklausant problemai, kartu su pažadu atlyginti žalą klientams, kuriuos paveikė įsilaužimas .
Išsamų naujienų pranešimą ir pranešimą apie incidentą rasite „Cream Finance“ svetainėje. Įraše nurodoma, kad užpuolimo grėsmės veikėjai piktnaudžiavo pažeidžiamumu, kaip „Cream“ platformoje buvo įdiegtas „ERC777“ žetonų standartas ir kai kurios jai priklausančios funkcijos. Dėl to atsirado pažeidžiamumas, leidžiantis įsilaužėliams išsiųsti kelias skolinimosi () funkcijas prieš atnaujinant pirmąją, todėl buvo pavogti žetonai.
„Cream Finance“ imasi dvipusio požiūrio, norėdamas susigrąžinti pavogtas lėšas ir susekti įsilaužėlį, kuris buvo už atakos. Platforma siūlo labai skanius 50% pavogtų pinigų bet kuriai šaliai, kuri užtikrina informaciją apie tikrąją įsilaužėlių tapatybę, o tai lemia teisminį persekiojimą.
Be to, „Cream“ taip pat siūlo įsilaužėliams 10% sumažinti pavogtus žetonus, kaip tam tikrą atlygį už klaidas, jei jie nusprendžia bendradarbiauti ir grąžinti likusius 90% pavogtų kriptovaliutų.
„Cream“ laikinai sustabdė AMP operacijas, kol įsilaužėlių naudojama klaida bus pašalinta.
Panašus, bet daug didesnis incidentas, įvykęs maždaug prieš mėnesį, iš Kinijos „DeFi“ platformos „Poly Network“ pavogė daugiau nei 500 mln. Per tą išpuolį vienišas įsilaužėlis piktnaudžiavo vienos iš funkcijų veikimo pažeidžiamumu.