forklog.com
Злоумышленник воспользовался уязвимостью в DeFi-протоколе Iron Bank (вторая версия проекта Cream Finance) и вывел токены на общую сумму $37,5 млн.
https://t.co/C8cMhz4dnG
— Cream Finance 🍦 (@CreamdotFinance) February 13, 2021
«Мы знаем о потенциальной уязвимости и изучаем ее. Спасибо за вашу поддержку в нашем расследовании», — написали представители Cream Finance.
Аналитик The Block Игорь Игамбердиев насчитал $37,5 млн потерь проекта из-за эксплоита. Также он изложил последовательность действий хакера.
IronBank ($CREAM) was exploited on $37.5M, let’s take a quick look at what happened.👇
1/ Attacker used Alpha Homora for borrowing sUSD from IronBank.
Each time they borrow twice as much as in the previous one.— Igor Igamberdiev (@FrankResearcher) February 13, 2021
«Злоумышленник использовал сервис Alpha Homora, чтобы занять средства у IronBank. Каждый раз он брал в долг вдвое больше, чем в предыдущем случае».
2/ They do this through two transactions and each time they lend the funds back into IronBank, receiving cySUSD.
3/ At some point exploiter took $1.8M USDC flash loan from Aave v2 and swapped USDC to sUSD using Curve. pic.twitter.com/fSheiqZ6lO
— Igor Igamberdiev (@FrankResearcher) February 13, 2021
«Делал он это посредством двух транзакций, каждый раз ссужая средства обратно в IronBank и получая cySUSD.
В какой-то момент злоумышленник получил USDC на $1,8 млн, воспользовавшись мгновенным займом на платформе Aave. Затем он обменял USDC на sUSD при помощи Curve».
4/ They lend these sUSD to IronBank, which allows them to continue borrowing and lending them, receiving cySUSD.
5/ Of course, some sUSD are spent on repayment of the flash loan.
— Igor Igamberdiev (@FrankResearcher) February 13, 2021
После этого он разместил sUSD в IronBank. Это позволило хакеру продолжить занимать и предоставлять средства, получая на выходе cySUSD.
«Конечно, некоторые sUSD были потрачены на погашение мгновенного займа», — подчеркнул исследователь.
6/ Also, a 10M USD flash loan is taken, which is also used to increase the number of cySUSD.
7/ In the end, the number of their cySUSD reaches an incredible amount, which allows them to borrow anything from IronBank. pic.twitter.com/2UfB1cSu0u
— Igor Igamberdiev (@FrankResearcher) February 13, 2021
«Был взят мгновенный займ на $10 млн, который также был задействован для увеличения числа sUSD. В конечном итоге cySUSD в его распоряжении достигло такого количества, что это позволило занимать что угодно в IronBank».
8/ Then they borrow:
— 13.2k WETH
— 3.6M USDC
— 5.6M USDT
— 4.2M DAI pic.twitter.com/T7VN2S0D0U— Igor Igamberdiev (@FrankResearcher) February 13, 2021
Затем злоумышленник взял в долг:
- 13 200 WETH;
- 3,6 млн USDC;
- 5,6 млн USDT;
- 4,2 млн DAI.
9/ Stablecoins have been deposited to Aave v2,
1k ETH to IronBank deployer,
1k ETH to Homora deployer,
220 ETH to Tornado,
100 ETH granted to Tornado
and almost 11k ETH remain on the exploiter balance.https://t.co/nctC08rg3W pic.twitter.com/MFYWZ46aVi— Igor Igamberdiev (@FrankResearcher) February 13, 2021
После этого он депонировал стейблкоины на различные сервисы, включая Aave (v2) и Alpha Homora (1000 ETH). Почти 11 000 ETH остались на адресе злоумышленника, 100 ETH он пожертвовал сервису микширования Tornado.Cash, а 1000 ETH отправил на адрес контракта IronBank.
На фоне произошедшего цена токена CREAM упала с отметок в районе $290 до $220.
Напомним, 5 февраля неизвестный хакер вывел $2,8 млн из пула yEarn.Finance. Вскоре DeFi-проект возместил потери пула в результате атаки.