Воспользовавшись уязвимостью DeFi-протокола Iron Bank (вторая версия проекта Cream Finance), неизвестный хакер украл токены на общую сумму $37,5 млн.
https://t.co/C8cMhz4dnG
— Cream Finance ?? (@CreamdotFinance) February 13, 2021
«Нам известная потенциальная уязвимость и занимаемся этим вопросом. Благодарим за поддержку в расследовании», — сообщили представители Cream Finance.
Последовательность действий хакера уже изучил и описал аналитик The Block Игорь Игамбердиев. Он также насчитал $37,5 млн потерь проекта из-за эксплоита.
IronBank ($CREAM) was exploited on $37.5M, let’s take a quick look at what happened.??
1/ Attacker used Alpha Homora for borrowing sUSD from IronBank.
Each time they borrow twice as much as in the previous one.
— Igor Igamberdiev (@FrankResearcher) February 13, 2021
«Хакером был использован сервис Alpha Homora, чтобы занять средства у IronBank. Каждый раз он брал в долг вдвое больше, чем в предыдущем случае».
2/ They do this through two transactions and each time they lend the funds back into IronBank, receiving cySUSD.
3/ At some point exploiter took $1.8M USDC flash loan from Aave v2 and swapped USDC to sUSD using Curve. pic.twitter.com/fSheiqZ6lO
— Igor Igamberdiev (@FrankResearcher) February 13, 2021
«Проводил он это, используя две транзакции, каждый раз ссужая средства обратно в IronBank и получая cySUSD.
Получив USDC на $1,8 млн, он воспользовался мгновенным займом на платформе Aave. Затем обменял USDC на sUSD, использовав Curve».
4/ They lend these sUSD to IronBank, which allows them to continue borrowing and lending them, receiving cySUSD.
5/ Of course, some sUSD are spent on repayment of the flash loan.
— Igor Igamberdiev (@FrankResearcher) February 13, 2021
После этого этапа хакер разместил sUSD в IronBank. Благодаря этому он смог продолжить занимать и предоставлять средства, получая на выходе cySUSD.
«Естественно, часть sUSD были потрачены на погашение мгновенного займа», — написал исследователь.
6/ Also, a 10M USD flash loan is taken, which is also used to increase the number of cySUSD.
7/ In the end, the number of their cySUSD reaches an incredible amount, which allows them to borrow anything from IronBank. pic.twitter.com/2UfB1cSu0u
— Igor Igamberdiev (@FrankResearcher) February 13, 2021
«Вскоре был взят займ на $10 млн для увеличения числа sUSD. По итогу, cySUSD в его распоряжении достигло такого количества, что это позволило занимать что угодно в IronBank».
8/ Then they borrow:
— 13.2k WETH
— 3.6M USDC
— 5.6M USDT
— 4.2M DAI pic.twitter.com/T7VN2S0D0U
— Igor Igamberdiev (@FrankResearcher) February 13, 2021
Порядок займов злоумышленника:
- 13 200 WETH;
- 3,6 млн USDC;
- 5,6 млн USDT;
- 4,2 млн DAI.
9/ Stablecoins have been deposited to Aave v2,
1k ETH to IronBank deployer,
1k ETH to Homora deployer,
220 ETH to Tornado,
100 ETH granted to Tornado
and almost 11k ETH remain on the exploiter balance.https://t.co/nctC08rg3W pic.twitter.com/MFYWZ46aVi
— Igor Igamberdiev (@FrankResearcher) February 13, 2021
После всех действий, хакер депонировал стейблкоины на различные сервисы: Aave (v2) и Alpha Homora (1000 ETH). Около 11 000 ETH остались на адресе злоумышленника, 100 ETH он пожертвовал сервису микширования Tornado.Cash, а 1000 ETH отправил на адрес контракта IronBank.
Из-за этого стоимость токена CREAM упала с отметок в районе $290 до $220.
