Un bug a permis à un attaquant de tromper la plateforme de prêt de cryptomonnaies Cream-Finance et de voler des pièces et des jetons d’une valeur d’environ 30 millions d’euros.
La plateforme de prêt de cryptomonnaies Cream.Finance s’est fait voler des cryptomonnaies d’une valeur actuelle d’environ 30 millions d’euros en exploitant une faille de sécurité. Au total, les attaquants inconnus ont pu empocher environ 462 millions de jetons AMP (actuellement environ 21,48 millions d’euros) et 2804,96 Ether (actuellement 8,84 millions d’euros) mardi dernier.
La vulnérabilité exploitée permettait une attaque dite de réentraînement, explique Cream.Finance dans un billet de blog. Avec une telle attaque, les fonctions peuvent être exécutées encore et encore sans mettre à jour le solde du compte dans l’appel de la fonction. L’exemple le plus connu de ces attaques est la chute spectaculaire du projet DAO, qui a coûté plusieurs millions de dollars. Dans le cas de Cream.Finance, les attaquants ont réussi à tromper une fonction d’octroi de crédit et à recevoir ainsi plus d’argent que prévu, poursuit le rapport. Au total, il y a eu 17 transactions abusives ; il y avait probablement aussi un imitateur.
Pièces à rembourser
Cream.Finance est spécialisée dans les transactions de crédit avec des cryptomonnaies et fait partie des plateformes dites Defi. Les utilisateurs peuvent prêter des cryptomonnaies avec intérêt ou contracter des prêts. Defi signifie « finance décentralisée », c’est-à-dire la tentative de créer de nouveaux services financiers automatisés basés sur des contrats intelligents sur des blockchains décentralisées telles qu’Ethereum.
Le problème réside apparemment dans la mise en œuvre du jeton AMP, créé selon la norme ERC-777, dans son propre protocole, explique Cream.Finance. Cette découverte a été faite avec l’aide de la société de sécurité Peckshield. Jusqu’à ce qu’il y ait un correctif pour cette faille, les fonctions de crédit autour des jetons AMP sont bloquées pour le moment. Toutes les personnes concernées devraient être remboursées pour la perte en Ether et AMP, a expliqué Cream.Finance. Le financement sera assuré par la mise en réserve de 20 % des redevances perçues par le service en vue de leur remboursement.
Raids en terre défensive
Il s’agit du deuxième incident de sécurité sérieux chez Cream.Finance au cours des six derniers mois. En février, des attaquants avaient réussi à soulager la plateforme Ironbank de Cream de crypto-monnaies d’une valeur d’environ 38 millions de dollars américains. Cependant, l’attaque a eu lieu via un service de cryptographie de la société Alpha Finance, avec laquelle ils ont collaboré.
En général, l’écosystème Defi semble être une cible populaire pour les attaques. Pas plus tard qu’en août, un pirate a réussi à voler des pièces d’une valeur de plus de 600 millions de dollars à l’époque sur la plateforme Polynetwork. Cependant, le pirate s’est avéré être amical et a progressivement rendu la somme siphonnée. Polynetwork lui avait proposé un emploi de consultant en sécurité ; la question de savoir si le pirate a accepté reste ouverte.
Cream.Finance espère également trouver un sympathique pirate informatique : si le principal attaquant est disposé à rendre l’argent, l’entreprise lui versera 10 % de la somme sous la forme d’une prime régulière, sans aucune conséquence. Dans le même temps, la plateforme de cryptomonnaie a également offert une récompense pour toute information menant à la capture de l’auteur. Dans ce cas, 50 % de la somme récupérée serait partagée avec les informateurs.
