Злоумышленник воспользовался уязвимостью в DeFi-протоколе Iron Bank (вторая версия проекта Cream Finance) и вывел токены на общую сумму $37,5 млн.
«Мы знаем о потенциальной уязвимости и изучаем ее. Спасибо за вашу поддержку в нашем расследовании», — написали представители Cream Finance.
Аналитик The Block Игорь Игамбердиев насчитал $37,5 млн потерь проекта из-за эксплоита. Также он изложил последовательность действий хакера.
«Злоумышленник использовал сервис Alpha Homora, чтобы занять средства у IronBank. Каждый раз он брал в долг вдвое больше, чем в предыдущем случае».
«Делал он это посредством двух транзакций, каждый раз ссужая средства обратно в IronBank и получая cySUSD.
В какой-то момент злоумышленник получил USDC на $1,8 млн, воспользовавшись мгновенным займом на платформе Aave. Затем он обменял USDC на sUSD при помощи Curve».
После этого он разместил sUSD в IronBank. Это позволило хакеру продолжить занимать и предоставлять средства, получая на выходе cySUSD.
«Конечно, некоторые sUSD были потрачены на погашение мгновенного займа», — подчеркнул исследователь.
«Был взят мгновенный займ на $10 млн, который также был задействован для увеличения числа sUSD. В конечном итоге cySUSD в его распоряжении достигло такого количества, что это позволило занимать что угодно в IronBank».
Затем злоумышленник взял в долг:
После этого он депонировал стейблкоины на различные сервисы, включая Aave (v2) и Alpha Homora (1000 ETH). Почти 11 000 ETH остались на адресе злоумышленника, 100 ETH он пожертвовал сервису микширования Tornado.Cash, а 1000 ETH отправил на адрес контракта IronBank.
На фоне произошедшего цена токена CREAM упала с отметок в районе $290 до $220.
Напомним, 5 февраля неизвестный хакер вывел $2,8 млн из пула yEarn.Finance. Вскоре DeFi-проект возместил потери пула в результате атаки.
04-07-2025, 02:31 AM
Threaded Mode