sulle cripto
Sfruttando i prestiti flash, gli hacker sono riusciti a rubare circa 37,5 milioni $ distribuiti in diverse criptovalute e stablecoin.
Un attacco complesso
Il prezzo di C.R.E.A.M., il token che alimenta un omonimo protocollo di prestito finanziario decentralizzato, oggi è crollato da 288 $ a 193 $ in una sola ora a seguito di un apparente exploit avvenuto tramite un prestito flash che ha prosciugato 37 milioni $ dal protocollo. Il prezzo di C.R.E.A.M. è ora di 223 $.
Nessuna conferma ufficiale dell’attacco è stata data da Cream Finance, ma il team ha pubblicato un tweet per annunciare di essere consapevole di un “potenziale exploit”. Più di due ore dopo, un altro protocollo DeFi collegato al primo e noto come Alpha Finance ha annunciato di essere stato vittima di un “exploit”.
Secondo le prime analisi dell’accaduto, sembra che uno o più hacker esperti di DeFi abbiano trafugato oltre 37,5 milioni di dollari in un attacco complesso e diviso in più fasi che coinvolgeva prestiti flash, ovvero prestiti cripto istantanei.
Gli hacker hanno ottenuto un prestito cripto da Alpha Finance, investendo il denaro nella piattaforma di prestito di CREAM, Iron Bank. Iron Bank era stata recentemente aggiornata per consentire il prestito senza garanzie da Alpha Finance e l’exploiter ha ricevuto token derivati speciali chiamati cySUSD.
La strategia dei prestiti flash
Il responsabile del furto è riuscito ad ottenere prestiti sufficienti per accumulare un’enorme quantità di token cySUSD, che poteva utilizzare per prendere in prestito qualsiasi cosa su IronBank. Quindi ha preso in prestito 13.244 ETH (23,8 milioni $), 3,6 milioni $ nella stablecoin USDC, 5,6 milioni $ nella stablecoin USDT e 4,2 milioni $ nella stablecoin decentralizzata DAI.
La somma equivale a circa 37 milioni $. Secondo la traccia rimasta sulla blockchain, 1000 ETH (1,8 milioni $) sono stati rimborsati sia al protocollo Alpha che a Cream Finance, e altri 320 ETH (577,238 $) inviati a Tornado, uno strumento per la privacy di Ethereum, oltre ad altri rimborsi effettuati per coprire gli enormi prestiti che sono stati necessari per l’attacco. L’hacker ha tenuto per sé circa 19,9 milioni di dollari, e l’intero exploit è costato solo 14.754 $ in commissioni sulla blockchain Ethereum per essere realizzato.
Problemi DeFi
Alpha Finance ha twittato che il bug è stato riparato, e Cream Finance ha reso noto con un altro tweet che “i contratti e i mercati C.R.E.A.M. sono stati ispezionati e trovati a funzionare normalmente”, ma per molti è un promemoria della precarietà dei protocolli DeFi.
DeFi è suscettibile di exploit basati sui prestiti flash come questo. In noto caso avvenuto prima di Natale, la piattaforma DeFi Warp Finance da poco lanciata è stata derubata per 7,7 milioni $ in stablecoin in un altro attacco con prestito flash. E in un attacco contro la piattaforma di prestito cripto Compound, gli exploiter hanno portato a casa 89 milioni $. È chiaro, quindi, che è necessario fare di più per evitare che le criptovalute continuino a essere rubate dall’ambiente DeFi.
