Le protocole de prêt de la finance décentralisée (DeFi) Cream Finance (CREAM) a subi un piratage qui a entraîné la perte d’environ 26 millions de dollars en jetons Ethereum (ETH) et AMP.

Cream Finance indique que la plate-forme a perdu 418 311 571 AMP, actuellement évalués à 22,1 millions de dollars, et 1 308 ETH, actuellement évalués à 4,42 millions de dollars, mardi “par réentrée sur le contrat de jeton AMP”. Au moment du piratage, la crypto valait environ 18 millions de dollars.

La plate-forme a interrompu l’approvisionnement et emprunté sur AMP pour arrêter l’exploit. AMP est un actif cryptographique utilisé comme garantie pour les paiements en stablecoin.

La société de sécurité blockchain PeckShield a d’abord repéré et analysé le piratage.

«Le piratage est rendu possible grâce à un bug de réentrance introduit par AMP, qui est un jeton de type ERC777 et exploité pour réemprunter des actifs lors de son transfert avant de mettre à jour le premier emprunt.

Plus précisément, dans l’exemple [transaction], le pirate effectue un prêt flash de 500 ETH et dépose les fonds en garantie. Ensuite, le pirate emprunte 19 millions d’AMP et utilise le bogue de réentrée pour réemprunter 355 ETH dans AMP token transfer(). Ensuite, le hacker auto-liquide l’emprunt. Le pirate informatique répète le processus ci-dessus dans 17 transactions différentes et gagne au total 5,98 000 ETH (avec ~ 18,8 millions de dollars).

Source : PeckShield/Twitter

Le jeton natif du protocole, CREAM, est en baisse de plus de 10 % sur la journée et se négocie à 161,70 $ au moment de la rédaction, selon CoinGecko.

Le hack de cette semaine n’est pas la première attaque contre Cream Finance cette année. En mars, la plate-forme de prêt a révélé que son site Web avait subi une attaque d’usurpation du système de noms de domaine (DNS) qui tentait d’inciter leurs utilisateurs à saisir leur phrase de départ privée dans une fausse boîte de saisie de portefeuille MetaMask.

Les attaques contre les protocoles DeFi ont fait l’actualité au cours des dernières semaines après que Poly Network a subi un piratage massif de 643 millions de dollars au début du mois. Poly Network, cependant, a travaillé avec l’attaquant pseudonyme, connu sous le nom de M. White Hat, et a récupéré tous les fonds volés.

Image en vedette : Shutterstock/zeber