Cream Finance ist erneut Opfer eines Hacker-Angriffs geworden. Bisher nicht identifizierte Angreifer haben dem auf Ethereum basierenden dezentralen Finanzprojekt 100 Millionen US-Dollar gestohlen.
Das Unternehmen für Blockchain-Analyse- und Sicherheit PeckShield war das erste, das die Adresse des Angreifers aufzeigte. Cream Finance hat seitdem bestätigt, dass eine Sicherheitslücke in CREAM v1 auf Ethereum untersucht wird. Es soll ein Update kommen, sobald dieses verfügbar ist.
Nach der Veröffentlichung der Nachricht fiel der Preis von CREAM. Die Kryptowährung kostet jetzt 111,61 US-Dollar und ist damit innerhalb einer Stunde um fast 30 % gefallen.
Das ist nicht der erste Angriff, den das Projekt erlebt hat. Im August wurde es Opfer eines weiteren Angriffs über die Flash Loan Feature, bei dem 25 Millionen US-Dollar gestohlen wurden.
Der jüngste Angriff ist in der Kryptowelt nicht gut angekommen. Viele Händler äußern nun ihre Bedenken über den Handel mit CREAM und sagen, dass zwei Angriffe in so kurzer Zeit mehr als ein einfacher Fehler sind.
Ein Twitter-Nutzer, @skinnvaesten, schrieb:
Wie wäre es, CREAM überhaupt nicht zu benutzen. Erste Attacke – okay, Fehler passieren. Zweiter Explit – habt ihr es beim ersten Mal nicht gelernt? Dritter Exploit – schwere Inkompetenz, benutze Cream nicht.
Ein anderer Nutzer schrieb: „Sieht so aus, als wäre @creamdotfinance tot, Jungs“ und deutete damit den Untergang der Firma nach dem Angriff an.
Angriff über Flash Loan-Blitzkredite
Der Angriff, der am Mittwoch stattfand, hatte den Abfluss von mehr als 1 Milliarde US-Dollar als Folge, was ihn zu einem der bisher folgenschwersten DeFi-Angriffe macht. Laut der Website von Cream sind die meisten Ethereum-Pools der Blockchain nun komplett leer.
Gestohlen wurde das Geld offenbar im Rahmen einer komplexen Transaktion. 68 verschiedene Vermögenswerte waren daran beteiligt, den Angreifer kostete es 9 ETH an Transaktionsgebühren. Das Ganze erfolgte über einen von Cream angeboten Flash Loan (Blitzkredit) Contract. Der Vertrag des Angreifers enthält jetzt 92 Millionen US-Dollar an Krypto-Vermögenswerten und die Adresse des Erstellers enthält weitere 22 Millionen US-Dollar.
Der Angreifer nutzt nun eine Reihe von Diensten, mit den er seine Identität verschleiert, um die Gelder zu „waschen“. Weitere Einzelheiten sind noch nicht bekannt.