Cream Financeは再入可能な脆弱性により1800万ドル以上を盗まれ、今年3回目の攻撃を受けました。

著者：チェーンキャッチャー

今日の昼、DeFi貸出プラットフォームCream Financeがフラッシュローン攻撃を受け、ハッカーは4.2億AMP、1308ETH、及び少量のUSDCなどのステーブルコイン資産を獲得し、総資産価値は1800万ドルを超えました。これは今年に入ってからこのプロジェクトが3度目の攻撃を受けたことになります。

セキュリティ分析機関PeckShieldの分析によると、今回の攻撃の脆弱性はAMPトークン契約に再入可能性の脆弱性が存在することに起因し、ハッカーは資産を借り出す過程で再度資産を借り出すことができました。

具体的には、最初の攻撃取引でハッカーは500ETHのフラッシュローンを行い、資金を担保として預け、1900万AMPを借り出しました。その後、ハッカーは再入可能性の脆弱性を利用し、AMPトークンの移転過程で再度355ETHを借り出しました。その後、ハッカーは自ら借入金を清算しました。

ハッカーは合計17の異なる取引で上記のプロセスを繰り返し、総計5980ETH（約1880万ドル）を獲得しました。現在、全ての資金はハッカーのアドレスに保管されており、さらなる動きはありません。

Cream Financeは台湾コミュニティによって発起された分散型貸出プロトコルで、中長尾資産を主打ちし、年初にYFIエコシステムに参加しました。現在はEthereum、BSC、Polygonなど複数のブロックチェーンネットワークに拡大しています。DefiLlamaのデータによると、Cream Financeの現在の総ロック量は16億ドルで、分散型貸出プロトコルの中で5位にランクされています。

これまでに、このプロジェクトは何度もハッカー攻撃を受けており、現在の累積損失額は5600万ドルを超えています。

今年2月13日、ハッカーはAlpha Homora V2の技術的脆弱性を利用して、Cream Finance傘下の無担保クロスプロトコル貸出機能Iron BankからETH、DAI、USDCなどの資産を借り出し、約3800万ドルの損失を引き起こしました。その後、Alpha Financeは資産の全額補償を行うと発表しました。

同月28日、DeFi集約プラットフォームFurucomboが深刻な脆弱性攻撃を受け、Cream Financeの準備金アカウントが影響を受け、Cream Financeチームはすぐに全ての外部契約の承認を取り消しましたが、依然として110万ドルの損失を被りました。