Le protocole Cream Finance se fait dérober 25,7 millions de dollars en ETH et AMP – Une 2e attaque en seulement 6 mois

Cream Finance touché par une 2e attaque en 6 mois

Décidément, ces dernières semaines sont fructueuses pour les attaquants de protocoles de la finance décentralisée (DeFi). Le protocole de prêts et d'emprunts Cream Finance vient de subir une importante attaque chiffrée à plusieurs millions de dollars.

Selon l'équipe de Cream Finance, l'attaquant ayant exploité la faille s'est emparé de près de 418 millions de tokens AMP et de 1 308 Ethers (ETH). Au moment de l'attaque, la somme totale récupérée par le hacker s'élevait à près de 25,7 millions de dollars. L'adresse Ethereum identifiée comme appartenant au hacker possède actuellement 18,8 millions de dollars.

Pour éviter que les pertes ne se poursuivent, l'équipe de Cream Finance a suspendu toutes les fonctionnalités propres au token AMP. Elle précise aussi que les autres marchés de la plateforme ne sont pas affectés.

C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.

We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.

— Cream Finance ? (@CreamdotFinance) August 30, 2021

D'après les experts de PeckShield, une entreprise spécialisée dans la crypto-sécurité, l'attaquant est parvenu à réaliser un « flash loan » de 500 ETH, lesquels ont été utilisés pour exploiter un bug dans le smart contract d'Ampleforth et subtiliser des tokens AMP. Pour rappel, les « flash loans » sont des prêts sous-collatéralisés qui sont empruntés et remboursés au sein de la même transaction.

Plus précisément, l'attaque a déposé les ETH comme garantie dans le protocole, pour emprunter 19 millions de dollars d'AMP et utiliser un bug de réentrance pour réemprunter 355 ETH avec une fonction du smart contract. En répétant l'opération 17 fois, l'attaquant est ainsi parvenu à accumuler un pactole de 5 980 Ethers.

1/4 @CreamFinance was exploited in (one hack tx: https://t.co/JPW7e368qd), leading to the gain of ~$18.8M for the hacker.

— PeckShield Inc. (@peckshield) August 30, 2021

Depuis les révélations sur l'attaque, le cours de l'AMP a chuté de près de 15%, passant de 0,058 dollar à près de 0,050 dollar. Quant au cours du token CREAM, celui-ci accuse une baisse de 6%, en passant de 180 dollars à 167 dollars.

Ce n'est pas la première fois que Cream Finance est touché par une attaque aussi importante. En février dernier, le protocole a également subi une attaque de type « flash-loan » et s'est fait dérober l'équivalent de 37,5 millions de dollars en cryptomonnaies.

Les attaques à l'encontre de protocoles DeFi sont toujours aussi fréquentes. Que ce soit sur Ethereum, sur la Binance Smart Chain ou d'autres blockchains qui commencent à développer un important écosystème d'applications, le risque est toujours aussi présent, et cela malgré les nombreux audits de sécurité réalisés par des sociétés spécialisées.

💡 Sur le même thème – Plus de 600 millions de dollars dérobés au protocole Poly Network – Le plus gros crypto-hack de tous les temps

Rejoignez des experts et une communaut� Premium

PRO

Investissez dans vos connaissances crypto pour le prochain bullrun

Directeur de publication de Cryptoast, je découvre le Bitcoin et la technologie blockchain en 2017. Depuis, j'ai accumulé une vaste connaissance du Web3 et je m'efforce de partager un contenu de haute qualité pour démocratiser ce secteur auprès du grand public. Grâce à une équipe dévouée et passionnée, Cryptoast est devenu une référence incontournable, fournissant des analyses approfondies et des informations pertinentes pour tous les passionnés et curieux de l'univers des cryptomonnaies et du Web3.

Clément Wardzala

1887 articles

Tous ses articles