Desplácese para leer más

C.R.E.A.M es explotado por 130M de dólares

En la madrugada del miércoles, PeckShield alertó en twitter sobre un flash loan realizado en la dapp. El protocolo se vió envuelto en un nuevo evento en el que se drenaron 130M de dólares durante un ataque flash loan, del cual se diluyeron varios activos de C.R.E.A.M v1. Así lo anunciaban vía twitter.

Un flashloan es un préstamo sin necesidad de colateral que se ejecuta de inmediato, siempre y cuando se devuelva el préstamo en la misma transacción en la que ocurre.

En la transacción del exploit, el hacker dejó un claro mensaje de advertencia hacia la v2 de C.R.E.A.M y Aave. 

El hecho fue posible ya que según la documentación de la plataforma, el precio del oráculo de algunos tokens tales como yDAI, yUSDC, yTUSD, son tomados directamente del contrato, dejando abierta la posibilidad de manipular los precios.

Las miradas se volcaron hacia varios protocolos forks de C.R.E.A.M, tal como Trader Joe (DEX montado en Avalanche), los que pausaron sus préstamos e inhabilitaron los flash loans durante un día. Scream, protocolo en Fantom de nombre similar, aclaró que no se trata de un fork y por lo tanto están a salvo.  

SlowMist hizo un conteo de los tokens extraídos en su twitter: 

“Según las estadísticas de SlowMist AML, el hacker se ha beneficiado de un total de 2760,22 ETH y 60 tokens, incluidos HBTC, USDT, BUSD, etc” comentan.

Un análisis completo de lo ocurrido según BlockSec, puede ser encontrado acá.

De acuerdo con Rekt, este exploit se posiciona en el podio del leaderboard histórico como el 3º más caro por encima de EasyFi. 

C.R.E.A.M es una plataforma descentralizada de lend y borrow disponible en varias blockchains, aunque esta vez el target fue en Ethereum. Con este nuevo infortunio, suma un nuevo exploit en su haber. A finales de agosto, el protocolo había sido explotado recientemente por $18.8M de dólares.

Como de costumbre a la vez que ocurre un hackeo, el precio del token involucrado se ve afectado, esta vez cayendo desde $157 hasta tocar $102 según Binance.

¿Será el fin de esta lamentable trilogía? ¿La tercera habrá sido la vencida? 

Posible vulnerabilidad es expuesta en AAVE 

El exploit ocurrido en C.R.E.A.M desató fuertes discusiones en cripto twitter entre miembros de AAVE y yearn.finance, entre las cuales destacan los comentarios de Andre Cronje (founder de yearn): “El core de Aave después de una maratón de difamación de 24 horas sobre yearn luego de que se haya explotado cream, mientras que Aave es vulnerable al mismo exploit” declara Cronje en respuesta a las críticas.

En un intento por calmar las aguas, Stani Kulechov (founder de Aave) tuiteó “Todos en DeFi están en el mismo barco. Trabajemos juntos, apoyémonos unos a otros y, lo más importante, ganemos juntos.” 

La comunidad de AAVE dispuso en gobernanza una votación para parchear una vulnerabilidad similar a la que desencadenó el hackeo en C.R.E.A.M. La votación propone deshabilitar temporalmente los préstamos en xSUSHI y DPI como medida de precaución mientras se revisa la situación. 

“El equipo de gauntletnetwork ejecutó múltiples simulaciones que mostraron que cualquier intento de manipular xSUSHI en el Protocolo Aave daría como resultado pérdidas para los atacantes en las condiciones actuales del mercado.” comentan en el tuit oficial.

Según banteg (core dev en yearn), la posibilidad de explotar esta feature en AAVE se encontraba disponible hace un tiempo y requería parámetros específicos de liquidez, pero no es posible realizarlo hoy en día. 

A raíz del público conocimiento de esta posible vulnerabilidad, Justin Sun (founder de Tron) retiró $4B de dólares entre varios activos depositados en la plataforma, derivando en que los APY de la dapp se disparáran.  

En una muestra de que la comunidad es más fuerte unida que distanciada y luego del espontáneo retiro de liquidez de Sun, banteg anunció que yearn depositará en AAVE la liquidez removida. 

 

Autor
Facundö

Facundö

twitter.com/utonianum