Cream Finance vergibt Krypto-Kredite per Smart Contract. Über einen Bug in einem der Contracts konnte mindestens ein Angreifer die Kreditvergabefunktion aushebeln und Krypto-Coins und Token im Gegenwert von rund 30 Millionen Euro entwenden. Im Einzelnen verlor Cream rund 462 Millionen AMP-Token (etwa 21 Millionen Euro) und rund 2.800 Ether (rund neun Millionen Euro).
Hacker missbraucht Kreditvergabefunktion
In einem ausführlichen Blogbeitrag zur Analyse des Hacks erläutert Cream Finance, dass es sich bei der Attacke um einen sogenannten Reentrancy-Angriff gehandelt habe. Gelingt diese Art von Angriff, können Funktionen in eine Schleife gesetzt und so wieder und wieder ausgeführt werden, ohne dass etwaige Kontenstände sichtbar aktualisiert werden.
Bei Cream Finance sei eine Kreditvergabefunktion auf diese Weise überlistet worden, heißt es. Statt einer sei es zu insgesamt 17 missbräuchlichen Transaktionen gekommen. Zudem soll es einen weiteren Täter mit der gleichen Vorgehensweise, aber geringerem Erfolg gegeben haben.
Wie Cream Finance mithilfe der Sicherheitsfirma Peckshield herausfinden konnte, soll die Sicherheitslücke in der Implementierung des nach ERC-777-Standard geschaffenen AMP-Token ins eigene Protokoll zu finden sein. Einen Patch gibt es bislang nicht. Cream Finance hat daher alle Kreditfunktionen um das AMP-Token bis auf Weiteres gesperrt. Der Dienst verspricht den entstandenen Schaden voll zu ersetzen. Dazu soll ein Teil der vereinnahmten Gebühren eingesetzt werden.
Cream Finance zum zweiten Mal getroffen
Cream Finance ist ein auf Smart Contracts beruhender dezentraler Finanzdienstleister, der sich auf Kreditgeschäfte mit Kryptowährungen spezialisiert hat. Nutzende der Plattform können eigenständig Kryptowährungen verzinslich verleihen und ebenso ausleihen, also Kredite geben oder aufnehmen. Cream Finance läuft wie der AMP-Token auf der Ethereum-Plattform und ist dem rasant wachsenden Defi-Markt zuzurechnen, der allerdings in letzter Zeit immer wieder mit schweren Angriffen zu kämpfen hatte.
Auch bei Cream Finance ist der Vorfall nicht der erste in diesem Jahr. Schon im Februar hatten Hacker Creams Plattform Ironbank um Assets im Wert von rund 38 Millionen US-Dollar erleichtert. Seinerzeit erfolgt der Angriff aber nicht direkt auf die Plattform, sondern über einen Kryptodienst des Kooperationspartners Alpha Finance.
Cream Finance hofft auf Poly-Network-Verlauf
Im August erlitt die Plattform Poly Network mit über 600 Millionen Dollar den schwersten Verlust der noch jungen Defi-Historie. Poly Network hatte aber Glück im Unglück: Der Hacker gab die Summe in mehreren Tranchen zurück. Poly Network hatte ihm Straffreiheit zugesichert und ihm sogar eine Stelle als Sicherheitsberater angeboten.
Daran will sich Cream Finance wohl ein Beispiel nehmen. Man sei bereit, zehn Prozent der erbeuteten Summe als „Bug-Bounty“, also als Belohnung für das Finden der Sicherheitslücke ohne weitere Konsequenzen beim Angreifer zu belassen, lässt Cream Finance verlauten. Für den Fall, dass der sich daran als nicht interessiert erweist, fährt die Plattform zweigleisig. So hat sie eine Belohnung in Höhe von 50 Prozent der tatsächlich wieder zurückfließenden Coins und Token für diejenigen ausgelobt, deren Hinweise zur Ergreifung des Täters führen.