-
Este serรญa el tercer hackeo que sufre Cream Finance en lo que va de 2021.
-
El atacante estarรญan usando servicios de mezcla de transacciones para blanquear los tokens robados.
El protocolo de finanzas descentralizadas (DeFi) Cream Finance fue objeto de un nuevo ataque este miรฉrcoles 27 de octubre. Esta vez, el hacker logrรณ extraer tokens por un valor cercano a los $130 millones.
El atacante explotรณ una vulnerabilidad en el contrato inteligente de flash loans (prรฉstamos instantรกneos) de Cream Finance en la red de Ethereum. El protocolo cuenta tambiรฉn con fondos en la Binance Smart Chain y las blockchains de Polygon y Fantom que, hasta el momento de redacciรณn del presente artรญculo, no se reportan como afectadas por el ataque.
Las alarmas se dispararon una vez que la empresa especializada en seguridad de blockchain, PeckShield, lanzara una alerta en su cuenta de Twitter sobre una cuantiosa transacciรณn proveniente del mencionado contrato. La transacciรณn evidencia que el prรฉstamo involucrรณ cerca de 70 activos, en su mayorรญa tokens ERC-20.
El importe fue transferido a un contrato inteligente y una direcciรณn creada por el atacante, que recibieron alrededor de $92 millones y $25 millones respectivamente. Segรบn algunos reportes, el atacante estarรญa ยซlavandoยป los fondos robados, valiรฉndose de servicios de mezcla de transacciones que obstaculizan la trazabilidad en la cadena de bloques.
Por el momento, Cream Finance no ha ofrecido detalles del caso en ninguna de sus redes sociales y su cuenta de Discord estรก restringida. Aunque sรญ anunciaron en Twitter que iniciaron una investigaciรณn. ยซEstamos investigando un exploit en CREAM v1 en Ethereum y compartiremos actualizaciones tan pronto como estรฉn disponiblesยป, se puede leer en el tuit.
Tres hackeos en un aรฑo
Finance se define como ยซun protocolo de prรฉstamos descentralizado que permite a personas, instituciones y protocolos acceder a servicios financierosยป. La empresa hace parte del ecosistema de yearn finance, y surgiรณ en 2020, en pleno furor de las finanzas descentralizadas.
Esta es la tercera vez en lo que va de 2021 que se enfrenta al aprovechamiento de una vulnerabilidad en su protocolo. Tal como reportรณ CriptoNoticias, a finales de agosto recibiรณ un ataque similar, cuando hackers sustrajeron $18,8 millones en ether (ETH) y tokens AMP del contrato inteligente de prรฉstamos instantรกneos.
Previamente, en el mes de febrero, ciberdelincuentes falsificaron el contrato inteligente del protocolo Alpha Homora, cliente confiable de Cream Finance, y lo usaron para solicitar a un prรฉstamo sin garantรญa $37,5 millones en ETH y stablecoins.
El monto de casi $130 millones, sustraรญdo en esta oportunidad a la plataforma, se ubica en el puesto 3 de los robos mรกs cuantiosos de la historia, segรบn el ranking del proyecto ยซReckยป. La noticia del ataque generรณ una caรญda de 30% en el precio del token CREAM.
