Для взлома протокола злоумышленники использовали сервис Iron Bank проекта CREAM Finance, который позволяет выдавать необеспеченные кредиты доверенным смарт-контрактам. Хакеры сделали так, что основной смарт-контракт Alpha Homora принял смарт-контракт, разработанный злоумышленниками, за собственный. Затем они использовали этот смарт-контракт для получения кредита в проекте CREAM Finance на $37.5 млн в ETH.
Одним из условий получения кредита в CREAM Finance является либо наличие средств в хранилищах проекта, достаточных для покрытия кредита, либо страховки. В хранилище Alpha Homora находится токенов ALPHA на сумму $1.6 млрд, поэтому кредит был выдан без дополнительных проверок. Пока неясно, будут ли использованы эти токены для уплаты кредита.
Разработчики Alpha Homora заявили, что уязвимость была обнаружена и закрыта, так что у хакеров не получится повторить взлом. Сейчас идет расследование инцидента совместно с CREAM Finance и основателем протокола Yearn.Finance Андре Кронье (Andre Cronje).
Напомним, что, по данным аналитической компании CipherTrace, в прошлом году хакеры смогли украсть криптоактивы на сумму $1.9 млрд.