Flash loan attack sur Cream V1. Premier d'une série dévastatrice pour le protocole. Cream disparaîtra définitivement courant 2022.
Même thème
Le token OM s'effondre de 6$ à 0,50$ en moins d'une heure un dimanche soir. Soupçons de liquidation forcée d'insiders. ~5,5B$ de market cap évaporés.
Whale manipule le price feed de JELLY, force la HLP vault à prendre une position 230M$. Hyperliquid delist en urgence pour éviter une perte plus large. Débat sur la décentralisation des perp DEX.
Le plus gros hack crypto de l'histoire. Le multisig de Bybit est compromis pendant un transfert routinier. ~401 000 ETH volés. Ben Zhou rebuild en 72h grâce aux loans d'urgence des autres exchanges.
130 millions de dollars partis en une transaction. Le 30 août 2021, un attaquant anonyme vide les pools de Cream Finance V1 en quelques blocs, sans jamais risquer un centime de sa poche.
Le mécanisme est chirurgical. L'attaquant emprunte une somme colossale via un flash loan sur Aave, sans collatéral, juste le temps d'une transaction. Il s'en sert pour manipuler les prix rapportés par l'oracle de Cream V1, le système censé dire « combien vaut tel actif ». L'oracle ment. Le protocole croit que l'attaquant détient une fortune. Il lui prête en conséquence. Les pools se vident, principalement en USDC. La transaction se boucle. L'argent est parti.
Cream Finance, fork de Compound construit aussi sur Yearn Finance, avait pourtant une réputation dans le DeFi de 2021. Le TVL total du secteur dépasse alors 100 milliards de dollars, l'ambiance est euphorique, et les audits de sécurité passent souvent au second plan. Ce jour-là, l'équipe détecte l'exploit et coupe tous les pools V1 en urgence. Trop tard.
Quelques jours plus tard, l'attaquant retourne 18 millions de dollars contre une prime de bug bounty négociée en silence. Les 112 millions restants disparaissent. La communauté retient son souffle, mais Cream tente de survivre.
Ce sera peine perdue. Ce hack du 30 août n'est que le premier acte. D'autres exploits suivent, portant le total des pertes à plus de 200 millions de dollars d'ici 2022. Le protocole annonce sa fermeture définitive en fin d'année. Trois hacks, un protocole mort.
En perspective, le bitcoin valait 46 993 $ ce jour-là. Il cote aujourd'hui autour de 80 186 $. Le marché a survécu, les protocoles mal sécurisés non. Cream Finance reste l'exemple parfait d'un projet qui a sous-estimé une règle simple du DeFi : un oracle manipulable, c'est un coffre-fort avec une serrure en carton.
