عانى كريم فاينانس، وهو بروتوكول رئيسي للتمويل اللامركزي (DeFi) يركز على الإقراض، من استغلال كبير، حيث قام أحد المخترقين بسرقة ما يقرب من ١٩ مليون دولار من منصته.
وقد تمكن متسلل غير معروف من كسب ١٨,٨ مليون دولار في أحدث استغلال لقرض سريع لبروتوكول كريم فاينانس من خلال خطأ في إعادة الدخول من خلال توكن آمب (AMP)، وذلك وفقًا لتحقيق أجرته شركة أمان بلوكتشين "بييكشيلد".
عند الإعلان عن الأخبار يوم الاثنين، قالت شركة كريم فاينانس إن البروتوكول قد أوقف الاستغلال عن طريق الإيقاف المؤقت لعقود التوريد والاقتراض على توكن AMP. وقد صرح كريم فاينانس بأنه "لم تتأثر أي أسواق أخرى".
C.R.E.A.M. v1 market on Ethereum has suffered an exploit, resulting in a loss of 418,311,571 in AMP and 1,308.09 in ETH, by way of reentrancy on the AMP token contract.
— Cream Finance (@CreamdotFinance) August 30, 2021
We have stopped the exploit by pausing supply and borrow on AMP. No other markets were affected.
حددت بيكشيلد أن المخترق استغل توكن AMP من خلال إعادة استعارة الأصول أثناء نقلها قبل تحديث أول عملية اقتراض في ١٧ معاملة منفصلة. وقدمت شركة الأمان مثالًا على المعاملة، قائلة: "يقوم المتسلل بعمل قرض سريع بقيمة ٥٠٠ إيثريوم ويودع الأموال كضمان. ثم يستعير المخترق ١٩ مليون دولار أمريكي AMP ويستفيد من خطأ إعادة الدخول لإعادة استعارة ٣٥٥ إيثريوم داخل تحويل توكن AMP بالدولار الأمريكي. ثم يقوم المخترق بتصفية الاقتراض بنفسه".
وأضافت بيكشيلد: "الأموال لا تزال متوقفة في ٠xCE١F… .٦EDE. ونحن نراقب هذا العنوان بنشاط بحثًا عن أي حركة".
AMP عبارة عن توكن قائم على إيثريوم تم تصميمه لضمان المدفوعات على شبكة المدفوعات الرقمية فليكسا. وينفذ عقد توكن AMP عقد التسجيل الذكي المستند إلى ERC٧٧ والمعروف باسم ERC١٨٢٠. تم تقديم معيار ERC١٨٢٠ في عام ٢٠١٩، وهو يحدد العقد الذكي للسجل العالمي حيث يمكن لأي عنوان "تسجيل الواجهة التي يدعمها والعقد الذكي المسؤول عن تنفيذه".