I progetti dell'ecosistema DeFi decentralizzato Cream Finance e xToken sono ancora una volta vittime di un exploit di sicurezza, perdendo in totale quasi 30 milioni di dollari.
Questo lunedì, gli sviluppatori del protocollo di finanza decentralizzata (DeFi) Cream Finance ha segnalato tramite Twitter lo sfruttamento di una vulnerabilità nel protocollo decentralizzato, che ha causato la perdita di oltre 25 milioni di dollari in token AMP ed ETH. Secondo il rapporto degli sviluppatori al momento di andare in stampa, l'aggressore di Cream Finance è riuscito a estrarre 418.311.571 token AMP da Flexa Network, oltre a 1.308 token ETH da Ethereum. In totale, le perdite in dollari ammontano a oltre 25,6 milioni.
Cream Finance ha riferito che l'aggressore ha riscontrato una falla di sicurezza nel contratto del token AMP e ha utilizzato un prestito lampo per estrarne fondi. Come misura di sicurezza, gli sviluppatori hanno interrotto i depositi e i prestiti sul protocollo; un’azione che non è piaciuta ad alcuni membri della comunità crypto che difendono la decentralizzazione.
D’altro canto, anche il protocollo DeFi xToken ha subito una vulnerabilità di sicurezza nella quale ha perso circa 4,5 milioni di dollari. Su Twitter gli sviluppatori di questo protocollo hanno riferito che il contratto xSNX è stato sfruttato, così come Cream Finance, utilizzando un prestito lampo per estrarre i fondi. Gli sviluppatori hanno pubblicato a segnalare post mortem riconoscendo che la complessità di questo prodotto ha aperto una "superficie significativa di vulnerabilità" nel protocollo DeFi, quindi hanno deciso di chiuderlo.
Si può essere interessati: Gli hack DeFi diventano popolari e causano perdite per un valore di 474 milioni di dollari nel 2021
Attacchi con prestiti lampo
I prestiti flash stanno diventando uno degli strumenti preferiti dagli aggressori che operano nell’ecosistema della finanza decentralizzata. L’emergere di questo tipo di prestito nella DeFi ha fatto crescere esponenzialmente il rischio all’interno dell’ecosistema nell’ultimo anno.
Alla fine di aprile, la società di ricerca e analisi blockchain Messari ha pubblicato un rapporto sugli attacchi DeFi avvenuti dal 2019. In tale rapporto, l'azienda sottolinea che il 40% dei furti ai protocolli decentralizzati è stato effettuato tramite prestiti flash. CipherTrace, un'altra società di analisi blockchain, ha affermato a metà di questo mese che gli attacchi alla DeFi stanno diventando popolari e che le perdite di valore all'interno di questo ecosistema finanziario superano finora i 474 milioni di dollari quest'anno.
Secondo exploit finora quest'anno
Nel caso di Cream Finance, come nel caso di xToken, le recenti falle di sicurezza sono il secondo exploit di cui soffrono questi protocolli nel 2021. Cream Finance è stata compromessa nel febbraio di questo stesso anno, attraverso un hack che ha coinvolto il progetto DeFi Alpha Finance Lab In Con questo attacco l'aggressore è riuscito a sottrarre al protocollo 37,5 milioni di dollari.
Un mese dopo, a metà marzo, anche il protocollo DeFi è stato vittima di un Attacco di spoofing DNS, che cercava di truffare gli utenti del protocollo visualizzando una finestra falsa all'interno del sito web di Cream Finance, per sollecitare informazioni riservate alle vittime nel tentativo di rubare le loro chiavi private e i loro fondi. Di questo attacco è stato vittima anche il protocollo decentralizzato PancakeSwap di BSC.
D'altra parte, nel mese di maggio xToken ha subito una vulnerabilità di sicurezza abbastanza simile a quella attuale, nel contratto xSNX. Gli sviluppatori riportato circa perdite pari a 25 milioni di dollari dovute ad un exploit avvenuto nei contratti xSNXa e xBNTa. A quel punto, i ricercatori hanno riferito che l'aggressore ha eseguito un'azione combinata per manipolare il mercato sulla rete Kyber e sfruttare un bug negli oracoli sui prezzi dei derivati xToken, permettendogli di estrarre i fondi.
Hack DeFi
I recenti attacchi a Crem Finance e xToken si verificano poche settimane dopo il più grande hack DeFi della storia. Il protocollo Poly Network ha vissuto due settimane di grande incertezza quando un hacker è riuscito a sottrarre 613 milioni di dollari dal suo contratto. Per fortuna gli sviluppatori hanno raggiunto un accordo con l’hacker, che si è rivelato essere un “White Hat Hacker”, e che ha restituito i fondi rubati pochi giorni fa.
Oltre alle vulnerabilità recentemente sfruttate in questi protocolli DeFi, il exchange Anche Bilaxy è caduto in mano attaccare di hacker, che sono riusciti a violare il loro hot wallet ERC-20, ritirando dal portafoglio più di 290 token ERC-20, per un valore compreso tra 170.000 dollari e diversi milioni di dollari, secondo notizie non confermate al momento della stampa.
Continua a leggere: L'ecosistema DeFi perde altri 7 milioni di dollari nel recente hack di The DAO Maker
