Хакеры ограбили Iron Bank проекта Cream.Finance через приложение Alpha Homora

Неустановленные хакеры нашли уязвимость на DeFi-платформе Alpha Homora, которая была пропущена разработчиками и аудиторами безопасности из команды Quantstamp. Баг позволил злоумышленникам многократно оформить и погасить ссуды на межсетевом протоколе Iron Bank, получая каждый раз кредитные средства, в два раза превышающие размер залога.

По данным The Block, хакеры получили flash-кредит 1,8 млн USDC на платформах Aave v2, который был впоследствии увеличен до 10 млн USDC.

Средства были обменены на стаблкоины другого вида sUSD, размещенные на депозите DeFi-платформы Alpha Homora. Этот депозит отправлялся, как залог по новому кредиту, оформленному в Iron Bank – межсетевом протоколе Cream Finance, работающим с различными DeFi-проектами.

Эксплойт Alpha Homora позволял «увеличивать» количество sUSD, получая взамен большее количество стаблкоинов другого вида cySUSD. Они обменивались на Aave на sUSD для погашения flash-кредита, излишек обменивался на WETH и выводился через миксер Tornado.Cash.

По независимой оценке, хакерам удалось многократно повторить операцию и вывести $37,5 млн до обнаружения атаки разработчиками Alpha Homora. Злоумышленники вернули им обратно 1000 ETH в виде благотворительного взноса. Еще 100 ETH они пожертвовали создателям миксера Tornado.Cash, позволяющего анонимизировать транзакции на платформе Ethereum.

Стартап Alpha Finance Lab сообщил, что похищенные средства будут покрыты совместными усилиями с yEarn.Finance, в чью структуру входит Cream.Finance. Средства пользователей платформы находятся в безопасности, но возможность получения ссуд временно закрыта до полного расследования инцидента.


Читайте нас в телеграм
Источник

Вам будет интересно  Госдума утвердила законопроект о налогообложении держателей цифровых валют