Hechos clave:
-
Este sería el tercer hackeo que sufre Cream Finance en lo que va de 2021.
-
El atacante estarían usando servicios de mezcla de transacciones para blanquear los tokens robados.
El protocolo de finanzas descentralizadas (DeFi) Cream Finance fue objeto de un nuevo ataque este miércoles 27 de octubre. Esta vez, el hacker logró extraer tokens por un valor cercano a los $130 millones.
El atacante explotó una vulnerabilidad en el contrato inteligente de flash loans (préstamos instantáneos) de Cream Finance en la red de Ethereum. El protocolo cuenta también con fondos en la Binance Smart Chain y las blockchains de Polygon y Fantom que, hasta el momento de redacción del presente artículo, no se reportan como afectadas por el ataque.
Las alarmas se dispararon una vez que la empresa especializada en seguridad de blockchain, PeckShield, lanzara una alerta en su cuenta de Twitter sobre una cuantiosa transacción proveniente del mencionado contrato. La transacción evidencia que el préstamo involucró cerca de 70 activos, en su mayoría tokens ERC-20.
El importe fue transferido a un contrato inteligente y una dirección creada por el atacante, que recibieron alrededor de $92 millones y $25 millones respectivamente. Según algunos reportes, el atacante estaría «lavando» los fondos robados, valiéndose de servicios de mezcla de transacciones que obstaculizan la trazabilidad en la cadena de bloques.
Por el momento, Cream Finance no ha ofrecido detalles del caso en ninguna de sus redes sociales y su cuenta de Discord está restringida. Aunque sí anunciaron en Twitter que iniciaron una investigación. «Estamos investigando un exploit en CREAM v1 en Ethereum y compartiremos actualizaciones tan pronto como estén disponibles», se puede leer en el tuit.
Tres hackeos en un año
Finance se define como «un protocolo de préstamos descentralizado que permite a personas, instituciones y protocolos acceder a servicios financieros». La empresa hace parte del ecosistema de yearn finance, y surgió en 2020, en pleno furor de las finanzas descentralizadas.
Esta es la tercera vez en lo que va de 2021 que se enfrenta al aprovechamiento de una vulnerabilidad en su protocolo. Tal como reportó CriptoNoticias, a finales de agosto recibió un ataque similar, cuando hackers sustrajeron $18,8 millones en ether (ETH) y tokens AMP del contrato inteligente de préstamos instantáneos.
Previamente, en el mes de febrero, ciberdelincuentes falsificaron el contrato inteligente del protocolo Alpha Homora, cliente confiable de Cream Finance, y lo usaron para solicitar a un préstamo sin garantía $37,5 millones en ETH y stablecoins.
El monto de casi $130 millones, sustraído en esta oportunidad a la plataforma, se ubica en el puesto 3 de los robos más cuantiosos de la historia, según el ranking del proyecto «Reck». La noticia del ataque generó una caída de 30% en el precio del token CREAM.