Por Hannah Pérez El protocolo de préstamos sufrió un ataque flash loans que resultó en pérdidas de más de USD $25 millones. Cream Finance ya había sido víctima de un hackeo similar en febrero.
***
Cream Finance, un protocolo de finanzas descentralizadas (DeFi) basado en Binance Smart Chain (BSC) y centrado en préstamos, fue víctima de un ataque informático que ha provocado pérdidas superiores a los USD $20 millones.
El equipo de desarrolladores de Cream Finance anunció sobre el hackeo este lunes a través de Twitter. Según la información, el pirata informático se habría aprovechado de un error de reentrada en el contrato de token para AMP, un token de garantía digital respaldado por Consensys que figura en la plataforma.
“El mercado C.R.E.A.M. v1 en Ethereum ha sufrido un ataque, lo que ha provocado una pérdida de 418.311.571 en AMP y 1.308,09 en ETH, a través de la reentrada en el contrato de tokens de AMP.“, escribieron y aseguraron:
Hemos detenido el exploit pausando la oferta y el préstamo en AMP. Ningún otro mercado se ha visto afectado.
C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.
We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.
— Cream Finance 🍦 (@CreamdotFinance) August 30, 2021
Al momento de edición de este artículo, la pérdida de los fondos en las criptomonedas AMP y Ethereum se totaliza en USD $26,7 millones, según los precios actuales.
Cream Finance sufre ataque flash loans
Según una investigación de la firma de seguridad Blockchain, PeckShield, el atacante desconocido utilizó un préstamo flash antes de explotar el error de reentrada. La empresa, que dirigió el análisis inicial, detalló los pasos del hacker a través de un hilo de tweets:
“El pirata informático realiza un préstamo flash de 500 ETH y deposita los fondos como garantía. Luego, el hacker toma prestado 19M $ AMP y hace uso del error de reentrada para volver a tomar prestado 355 ETH dentro de la transferencia de token de $ AMP. Luego, el hacker autoliquida el préstamo“, explicó PeckShield. El hacker repitió este proceso varias veces para extraer los fondos.
3/4 Specifically, in the example tx, the hacker makes a flashloan of 500 ETH and deposit the funds as collateral. Then the hacker borrows 19M $AMP and makes use of the reentrancy bug to re-borrow 355 ETH inside $AMP token transfer(). Then the hacker self-liquidates the borrow. pic.twitter.com/ryVX2RoxhJ
— PeckShield Inc. (@peckshield) August 30, 2021
Basado en Ethereum, AMP es un token que está diseñado para garantizar pagos en la red de pagos digitales, Flexa. El contrato de token Amp implementa el contrato inteligente de registro basado en ERC-77, conocido como ERC-1820. Introducido en 2019, el estándar ERC-1820 define un contrato de registro universal donde cualquier dirección “puede registrar qué interfaz es compatible y qué contrato inteligente es responsable de su implementación“.
El equipo de PeckShield dijo al respecto al medio Crypto Briefing que podría haber un “riesgo de composibilidad entre los protocolos de préstamo basados en Compound y los tokens similares a ERC-777“.
Como resultado del evento, tanto AMP como el token nativo de Cream Finance, CREAM, experimentaron una caída de precio notable. El primero se ha derrumbado un 8% en las últimas 24 horas, cotizándose en USD $0,054, mientras que CREAM se cotiza en USD $163, con un descenso cercano a 7%.
Su segundo hackeo en 2021
Los equipos respectivos de Cream Finance y Peckshield todavía están investigando el ataque, aunque adelantaron que pronto se realizará una autopsia.
Esta es la segunda vez en los últimos seis meses que esta plataforma DeFi es víctima de un hackeo. En febrero, Cream Finance perdió cerca de USD $37,5 millones en el que entonces fue catalogado como uno de los mayores ataques de piratería de préstamos flash.
Los ataques de flash loans o préstamos relámpago, que se han vuelto muy populares este 2021, aprovechan una de las características más controvertidas de DeFi: préstamos que no requieren garantía. Los préstamos flash son préstamos financieros basados en Blockchain en los que se toman prestadas grandes cantidades de tokens, se utilizan para algún propósito y se reembolsan, todo en la misma transacción.
El último ataque a Cream Finance se produce en medio de una creciente ola de hackeos a protocolos DeFi, plataformas centralizadas y otros proyectos del espacio Blockchain. Hace unas semanas informamos que el protocolo DeFi Poly Network fue hackeado por USD $600 millones. También el exchange centralizado Liquid Global sufrió un ataque recientemente con pérdidas estimadas en USD $90 millones.
Lecturas recomendadas
- Protocolo BurgerSwap, en Binance Smart Chain, sufre ataque ‘flash loan’ por una línea de código, pierde USD $7 millones
- Plataforma DeFi basada en BSC, Uranium Finance, pierde USD $50 millones tras hackeo
- DAO Maker se convierte en la última víctima de hackeo DeFi: más de USD $7 millones robados
Fuentes: CoinDesk, Cointelegraph, Crypto Briefing, CoinDesk, archivo
Versión de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.
Artículos Relacionados
DeFi
Uniswap se acerca a los USD $3.000 millones en volúmenes de operaciones diarias
DeFi
UNI cae 20% tras la amenaza de demanda del regulador de EEUU
Destacadas
Uniswap recibe aviso legal por parte de la SEC
Bancos y Pagos