Hacker sfrutta exploit sui sistemi Cream Finance che perde 35 milioni di dollari di criptovaluta

Lettura 3 minuti


È successo, e succederà di nuovo… Ancora un cripto-hack che inevitabilmente nuoce all’intero ecosistema e che deve essere annotato negli annali degli hacking-exploit. Questa volta la vittima è la piattaforma Cream Finance, sulla quale pesa una perdita di 35 milioni di dollari.

Cream Finance perde un sacco di soldi

Il denaro è stato sottratto perché un hacker ha sfruttato una falla nel sistema del market maker DeFi ,Cream Finance, azienda decentralizzata che fornisce servizi lending ai cripto-investitori. I clienti della piattaforma possono infatti guadagnare interessi su molte criptovalute tra cui Ethereum, tether (USDT), COMP, oltre alla nativa nota come token Cream.

Il primo attacco è avvenuto il 31 agosto ed ha comportato la sottrazione di 462 milioni AMP, pari ad un valore di 25 milioni di dollari, in stesura, e il furto di più di 2.800 Ether per un totale di poco meno di 10 milioni di dollari, svaniti il giorno seguente.

In una dichiarazione, Cream Finance ha annunciato che il problema deriva da una disattenzione dei tecnici dell’azienda e da metodi per integrare AMP non del tutto corretti. Ciò ha fornito un vero e proprio exploit che ha permesso all’hacker di agire e di commettere il furto.

La società DeFi ha spiegato:

Anche se sfortunati e delusi, ci assumiamo la responsabilità dell’errore

Il trading e i prelievi di AMP sono stati dunque sospesi fino a quando Cream Finance potrà implementare una patch. La società tuttavia assicura tutti i trader colpiti dall’attacco che il denaro sarà prontamente restituito e che fino al 20% delle fee saranno utilizzate per rimborsare i clienti.

L’importante protocollo di finanza decentralizzata ha dichiarato che sta collaborando con le forze dell’ordine per trovare il responsabile, anche se ha aggiunto di essersi affidata a Poly Network per tentare una mediazione con il pirata informatico ed un eventuale “patteggiamento” tramite blockchain differenti.

In realtà, l’azienda Defi ha comunicato al cyber-criminale che se lui o lei sono disposti a restituire il denaro, possono tenersi fino al dieci per cento dei fondi hackerati senza subire alcuna conseguenza, metteranno fine all’indagine, sarà ritirata la denuncia e la persona responsabile dell’attacco non dovrà affrontare responsabilità penali.

D’altro canto, la situazione non è insolita, ed è simile a quanto già accaduto alla stessa Poly Network che, dopo aver subito un hack che le ha fatto perdere più di 600 milioni di dollari di cripto, ha offerto al suo hacker un lavoro come consulente capo per la sicurezza e un bonus di 500.000 dollari se disposto a restituire il malloppo.

Diremo tutto alla polizia

Se il/la lestofante non cederà all’offerta, l’indagine infatti continuerà, ha puntualizzato Cream Finance, che prenderà qualsiasi altra iniziativa necessaria per riavere i fondi. La compagnia in effetti ha detto:

Inoltreremo tutte le informazioni pertinenti alle autorità di polizia e perseguiremo le misure massime concesse dalla legge

C’è da dire che Cream Finance non è nuova a queste “disavventure tecniche”, e lo scorso febbraio ha subito un’altra battuta d’arresto perdendo oltre 37 milioni di dollari di criptovaluta a causa di un exploit flash lending con Iron Bank.

Di Vincenzo Augello


Commenta per primo

Lascia un commento

L'indirizzo email non sarà pubblicato.