Сейчас эти средства прокручиваются через миксеры TornadoCash с целью запутывания следов для дальнейшего беспрепятственного обналичивания похищенной суммы.
Это уже третья по счету атака на Cream Finance, которая проводится по одной и той же схеме. Хакеры привлекают мгновенные кредиты (flash loan), чтобы получить возможность манипулирования привязкой стаблкоинов к доллару США.
На этот раз была задействована многоступенчатая схема с многоходовым обменом активов yDAI, yUSDC, yUSDT, yTUSD для выхода на yUSD, чья стоимость была существенно завышена. Полученная разница позволяла злоумышленникам опустошать пулы ликвидности на каждом витке серии обменных операций.
Расходы на комиссию составили $36 тысяч. Всего в схеме было задействовано 68 видов токенов, чтобы скрыть реальный вектор атаки. Более подробно про найденную уязвимость кода смарт-контракта Cream Finance можно почитать в ветке твиттера PeckShield.
Стартап пока не делал официальных заявлений по поводу атаки. Предыдущие потери платформы были менее значительны, составив в итоге $43,5 млн.