Solana DeFi Protocol Crema perd 8,8 millions de dollars suite à une exploitation

Crema Finance, le protocole de liquidité basé sur Solana, s'est fait voler plus de 8,78 millions de dollars de crypto-monnaies sur sa plateforme lors d'une attaque au cours du week-end, ont déclaré les développeurs. dans un tweet.

Crema a déclaré avoir suspendu son contrat intelligent après l'exploitation. Le protocole permet aux fournisseurs de liquidités de définir des fourchettes de prix spécifiques, d'ajouter de la liquidité unilatérale et d'effectuer des transactions par ordre de fourchette. Cela constitue une plateforme de trading sophistiquée et décentralisée.

« Nous avons travaillé en étroite collaboration avec plusieurs instituts de sécurité expérimentés et organisations concernées pour suivre les mouvements de fonds du pirate informatique », ont déclaré les développeurs dans un tweet.

La valeur verrouillée sur Crema a chuté à 3 millions de dollars lundi, contre plus de 12 millions de dollars samedi, après l'exploit,les données montrentCrema a enregistré des volumes de transactions de 1,34 milliard de dollars depuis sa création en janvier.

L'attaquant a commencé par créer un faux compte tick. Un compte tick est « un compte dédié qui stocke les données de prix tick dans CLMM », ont expliqué les développeurs, faisant référence au protocole de tenue de marché de Crema. Ensuite, l'attaquant a exploité une commande en écrivant les données sur le faux compte et en contournant les mesures de sécurité.

L'attaquant a ensuite utilisé un prêt flash pour manipuler les prix des actifs des pools de liquidité. Ceci, combiné à de fausses saisies de données, lui a permis de prélever « d'énormes frais sur le pool ».

Prêts flashpermettre aux traders d'emprunter des prêts non garantis auprès de prêteurs en s'appuyant sur des contrats intelligents plutôt que sur des tiers.

Les fonds volés ont été échangés contre 69422,9 Solana (SOL) et 6 497 738 USD Coin (USDC). L' USDC , basé sur Solana, a ensuite été relié au réseau Ethereum via Wormhole et échangé contre 6 064 ethers (ETH). Ces fonds s’élèvent à plus de 8,5 millions de dollars aux prix actuels.

L'adresse Ethereum de l'attaquant, 0x8021b2962dB803b73Aa874030B0B42c202E8458Fcomme l'a signalé l'outil d'analyse de la blockchain Etherscan, les fonds volés n'avaient pas été déplacés ni convertis en d'autres pièces au moment de la rédaction, montrent les données.