DeFi Cream Finance sufrió un hackeo por más de 1.300 ETH

Como ha ocurrido varias veces en lo que va del año, otro protocolo DeFi sufre un ataque que resultó en pérdidas millonarias.

Los fondos robados todavía permanecen en una dirección que está siendo monitoreada.
Los ataques y hackeos a las DeFi ya superan los USD 500 millones en pérdidas este año.

El protocolo de finanzas descentralizadas (DeFi) Cream Finance sufrió un hackeo este lunes 30 de agosto. Los cibercriminales aprovecharon una vulnerabilidad en los contratos inteligentes para las operaciones de flash loans (préstamos instantáneos) para robar USD 18,8 millones en ether (ETH) y el token AMP (AMP).

Cream Finance es una plataforma DeFi que ofrece préstamos en criptomonedas. Según una publicación en su cuenta oficial de Twitter, los hackers sacaron partido de un fallo en el código de reentrada de los contratos inteligentes de AMP. Aclaran, sin embargo, que ya lograron detener el ataque y que “ningún otro mercado se vio afectado”.

Los delincuentes se hicieron con 1.308,09 ETH (al cierre de esta nota equivalen a USD 4,3 millones según el índice de precios de CriptoNoticias) y 418.311.571 AMP (más de USD 22,5 millones, aunque una parte fue incluida en otras transacciones que los hackers realizaron y el monto quedó reducido). Por el momento, las transacciones con AMP están suspendidas en la plataforma y no se sabe cuándo serán reanudadas.

Detalles del hackeo a Cream Finance

De acuerdo con un análisis preliminar publicado por la empresa de analíticas de blockchain PeckShield en Twitter, el bug (error) en el contrato permitió a los hackers repetir préstamos sin que se hayan actualizado las operaciones previas. En otras palabras, podían tomar varios préstamos utilizando la misma garantía, de modo que luego solo devolvían una parte de lo extraído.

C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.

We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.
— Cream Finance 🍦 (@CreamdotFinance) August 30, 2021

La publicación de Cream Finance en la que explica el hackeo y los montos robados por los atacantes. Fuente: Twitter.

De esta forma, los criminales pudieron hacer 17 transacciones para quedarse con el botín. Primero pidieron prestados 500 ETH y los usaron para solicitar 19 millones de AMP. Posteriormente, gracias al bug de reentrada en el contrato, volvieron a pedir otros 355 ETH antes de que la primera operación se liquidara. Una vez completado el proceso, repitieron la operación varias veces hasta llegar a la suma de USD 18,8 millones.

Con respecto a los fondos extraídos, estos todavía se encuentran alojados en una dirección de Ethereum, y tanto PeckShield como Cream Finance “están atentos” a cualquier movimiento que pueda presentarse para rastrear a los responsables del hecho.

Los diversos hackeos a DeFi en 2021

El que sufrió Cream Finance es uno más en la larga lista de hackeos a protocolos de finanzas descentralizadas en lo que va del año. De hecho, como informó CriptoNoticias en marzo, esta misma plataforma sufrió una brecha de seguridad que permitió a unos hackers robar sus sistemas de nombres de dominio (DNS) para pedir información privada a los clientes.

Además, en febrero Cream Finance había sufrido un robo de USD 37,5 millones. En lo que respecta a las DeFi en general, este año ya se robaron USD 500 millones entre ataques y fraudes de diversos tipos, como reportó este medio en agosto.