Krypto-Plattform „Cream Finance“ angegriffen, Token im Wert von über 30 Millionen US-Dollar gestohlen

Ein neuer Angriff auf eine Kryptowährungsplattform hat einen Schatten auf die Vorstellung geworfen, dass Krypto insgesamt extrem sicher ist. Der Angriff richtete sich gegen Cream Finance, ein Unternehmen, das sich selbst als „dezentrales Kreditvergabeprotokoll für Einzelpersonen" bezeichnet.

Der Angriff nutzte eine Schwachstelle aus, die es den Hackern ermöglichte, AMP-Token im Wert von rund 24 Millionen US-Dollar und Ethereum-Token im Wert von etwa 10 Millionen US-Dollar zu stehlen.

Laut Cream Finance fand der Angriff am 31. August statt. Spätere detaillierte Analysen zeigten, dass die Hacker einen Wiedereintrittsfehler ausnutzten, der auf die Art und Weise zurückzuführen war, wie AMP-Token-Verträge und -Funktionen in der Börse verwendet wurden.

Auf der Website von Cream Finance gibt es einen ausführlichen Beitrag, der erklärt, wie es den Hackern gelungen ist, eine zweite "Ausleihfunktion" zu "verschachteln" und auszuführen, bevor die erste aktualisiert wurde. Derselbe Beitrag besagt, dass das Problem nicht auf einen "Bug oder ein Problem" im AMP-Code zurückzuführen ist.

Nach der Untersuchung der Angelegenheit mit Hilfe der Sicherheitsfirma PeckShield – ein Name, der in der Blockchain-Sicherheit bekannt ist, stellte Cream Finance fest, dass der Fehler durch die Art und Weise verursacht wurde, wie AMP in die Plattform von Cream integriert und implementiert wurde und Cream zu dem Problem stand.

Cream hat auch erklärt, dass sie Kunden für gestohlene Token entschädigen werden. Die DeFi-Plattform ist auch bereit, den Hackern 10 % des gestohlenen Kryptos ohne Auswirkungen zu überlassen, wenn die bösen Akteure die gestohlenen Token bereitwillig zurückgeben. Dies ist nicht allzu ungewöhnlich, wenn man bedenkt, wie viele Unternehmen unter ähnlichen Umständen beträchtliche Fehlerprämien zahlen, nur ohne dass echte Verbrechen im Spiel sind.

Cream Finance verfolgt einen anderen, mutigeren Ansatz, um die Hacker zu bestrafen, falls sie nicht kooperieren. Die Plattform bietet jedem, der zuverlässige Informationen über die Identität des bösartigen Akteurs liefert, das zu seiner Verhaftung führt, massive 50% der gestohlenen Summe als Kopfgeldprämienzahlung an.

ZDNet erinnert daran, dass Cream Finance nicht zum ersten Mal das Ziel eines erfolgreichen Angriffs ist. Im Februar 2021 führte ein weiterer Angriff mit einem anderen Exploit zu einem Verlust von über 37 Millionen US-Dollar. Dies ist auch nicht der größte Krypto-Diebstahl dieser Art. Anfang August 2021 wurde die DeFi-Plattform Poly Network von einem einzigen Angreifer getroffen, der es schaffte, Krypto-Token im Wert von über einer halben Milliarde Dollar abzuschöpfen.