Спецпроекты

Безопасность Стратегия безопасности Интернет E-commerce Веб-сервисы Техника

Хакеры хитро обчистили известный криптомаркет на $20 млн

Воспользовавшись уязвимостью «повторного входа» злоумышленники вывели из криптомаркета Cream Finance миллионы токенов ETH и AMP. Их цена моментально обрушилась.

Повторный вход

Французский криптомаркет Cream Finance стал очередной жертвой киберзлоумышленников: из него вывели криптоактивов на сумму около $20 млн.

Cream Finance (или C.R.E.A.M. Finance) представляет собой децентрализованную финансовую платформу для выдачи ссуд в криптовалютах для физических лиц и учреждений. Cream обещает заработок пользователям, пассивно хранящим у себя криптовалюты.

Как выяснила фирма PeckShield, специализирующаяся на вопросах безопасности блокчейна, хакеры воспользовались багом «повторного входа», содержавшемся в алгоритмическом контракте стабильной криптовалюты AMP (Ampleforth).

Атаки «повторного входа» заключаются в многократном снятии средств до того, как первая транзакция разрешена или отклонена.

«...Хакер выдает быструю ссуду на 500 токенов Ethereum и депонирует средства в залог. Затем хакер одалживает 19 млн AMP и использует баг “повторного входа” для переодалживания 355 Ethereum внутри транзакции токенов AMP. Затем хакер сам ликвидирует ссуду», — пояснили в PeckShield.

Из криптомаркета Cream Finance украли активы на сумму около $20 млн

В результате хакеру удалось вывести в свои кошельки 418 млн токенов AMP и 1308 токенов Ethereum.

Сумма в реальных валютах оценивается по-разному: с момента угона криптовалют их курс резко упал, так что добыча хакера составила около $18,8 млн, хотя до атаки такой объем криптовалют оценивался в $25 млн или около того.

В Cream Finance подтвердили атаку и заявили, что приняли меры к недопущению подобных инцидентов в дальнейшем. Устранение уязвимости, по-видимому, потребует усилий со стороны разработчиков AMP.

Прибыльное дело

Атаки на децентрализованные финансовые криптоплатформы (DeFi) в последнее время заметно участились. По данным фирмы CipherTrace, к июлю 2021 г. общий объем угнанных средств из подобных платформ достиг значения $361 млн. Три четверти криминальной выручки от кибератак на криптовалюты в 2021 г. пришлись как раз на кражи и мошеннический вывод средств из DeFi-платформ, утверждается в материале CipherTrace.

Эксперты отмечают, впрочем, и резкое падение доходности атак на криптовалютные ресурсы. Если в 2019 г. хакеры смогли заработать на различных атаках $4,5 млрд, то в 2021 г. — пока только $681 млн.

«Такое снижение свидетельствует об усилении защиты криптовалютных ресурсов и о том, что атаковать их становится все сложнее, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — Киберкриминал же ищет всегда самые легкие пути, и если какие-то мишени становится слишком сложно атаковать, хакеры переключаются на другие объекты. Другое дело, что повышение общего уровня защиты криптовалютных ресурсов не означает, что они все защищены одинаково надежно: мы еще не один раз услышим про успешные атаки и массовый угон криптовалют».

Роман Георгиев

Короткая ссылка