Злоумышленник воспользовался уязвимостью в DeFi-протоколе Iron Bank (вторая версия проекта Cream Finance) и вывел токены на общую сумму $37,5 млн.
«Мы знаем о потенциальной уязвимости и изучаем ее. Спасибо за вашу поддержку в нашем расследовании», — написали представители Cream Finance.
Аналитик The Block Игорь Игамбердиев насчитал $37,5 млн потерь проекта из-за эксплоита. Также он изложил последовательность действий хакера.
«Злоумышленник использовал сервис Alpha Homora, чтобы занять средства у IronBank. Каждый раз он брал в долг вдвое больше, чем в предыдущем случае».
«Делал он это посредством двух транзакций, каждый раз ссужая средства обратно в IronBank и получая cySUSD.
В какой-то момент злоумышленник получил USDC на $1,8 млн, воспользовавшись мгновенным займом на платформе Aave. Затем он обменял USDC на sUSD при помощи Curve».
После этого он разместил sUSD в IronBank. Это позволило хакеру продолжить занимать и предоставлять средства, получая на выходе cySUSD.
«Был взят мгновенный займ на $10 млн, который также был задействован для увеличения числа sUSD. В конечном итоге cySUSD в его распоряжении достигло такого количества, что это позволило занимать что угодно в IronBank».
Затем злоумышленник взял в долг:
- 13 200 WETH;
- 3,6 млн USDC;
- 5,6 млн USDT;
- 4,2 млн DAI.
После этого он депонировал стейблкоины на различные сервисы, включая Aave (v2) и Alpha Homora (1000 ETH). Почти 11 000 ETH остались на адресе злоумышленника, 100 ETH он пожертвовал сервису микширования Tornado.Cash, а 1000 ETH отправил на адрес контракта IronBank.
На фоне произошедшего цена токена CREAM упала с отметок в районе $290 до $220.
We are aware of a potential exploit and are looking into this. Thank you for your support as we investigate.
— Cream Finance (@CreamdotFinance) February 13, 2021