Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Хакер вывел токены на $37,5 млн из DeFi-протокола Cream Finance (http://txgate.io:443/showthread.php?t=15406)

Artifact 04-07-2025 02:31 AM

Злоумышленник воспользовался уязвимостью в DeFi-протоколе Iron Bank (вторая версия проекта Cream Finance) и вывел токены на общую сумму $37,5 млн.
http://dl3.joxi.net/drive/2021/02/13...1f2faed1bb.jpg
«Мы знаем о потенциальной уязвимости и изучаем ее. Спасибо за вашу поддержку в нашем расследовании», — написали представители Cream Finance.
Аналитик The Block Игорь Игамбердиев насчитал $37,5 млн потерь проекта из-за эксплоита. Также он изложил последовательность действий хакера.
http://dl3.joxi.net/drive/2021/02/13...3c9a95c02a.jpg
«Злоумышленник использовал сервис Alpha Homora, чтобы занять средства у IronBank. Каждый раз он брал в долг вдвое больше, чем в предыдущем случае».
http://dl4.joxi.net/drive/2021/02/13...b3293ae9f7.jpg
«Делал он это посредством двух транзакций, каждый раз ссужая средства обратно в IronBank и получая cySUSD.
В какой-то момент злоумышленник получил USDC на $1,8 млн, воспользовавшись мгновенным займом на платформе Aave. Затем он обменял USDC на sUSD при помощи Curve».
http://dl4.joxi.net/drive/2021/02/13...672c5fc0b1.jpg
После этого он разместил sUSD в IronBank. Это позволило хакеру продолжить занимать и предоставлять средства, получая на выходе cySUSD.
«Конечно, некоторые sUSD были потрачены на погашение мгновенного займа», — подчеркнул исследователь.
http://dl3.joxi.net/drive/2021/02/13...2009a350b6.jpg
«Был взят мгновенный займ на $10 млн, который также был задействован для увеличения числа sUSD. В конечном итоге cySUSD в его распоряжении достигло такого количества, что это позволило занимать что угодно в IronBank».
http://dl4.joxi.net/drive/2021/02/13...18b1dbedc1.jpg
Затем злоумышленник взял в долг:
<ul><li>13 200 WETH;</li>
</ul><ul><li>3,6 млн USDC;</li>
</ul><ul><li>5,6 млн USDT;</li>
</ul><ul><li>4,2 млн DAI.</li>
</ul>
http://dl4.joxi.net/drive/2021/02/13...cb5eda9a08.jpg
После этого он депонировал стейблкоины на различные сервисы, включая Aave (v2) и Alpha Homora (1000 ETH). Почти 11 000 ETH остались на адресе злоумышленника, 100 ETH он пожертвовал сервису микширования Tornado.Cash, а 1000 ETH отправил на адрес контракта IronBank.
На фоне произошедшего цена токена CREAM упала с отметок в районе $290 до $220.
Напомним, 5 февраля неизвестный хакер вывел $2,8 млн из пула yEarn.Finance. Вскоре DeFi-проект возместил потери пула в результате атаки.

Jekaprof 04-07-2025 02:44 AM

Красавчик, что тут скажешь


All times are GMT. The time now is 04:24 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.