Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 060Ataque con flash loan

Drenaje con préstamo flash en Cream Finance

La manipulación de precio de yUSD con préstamo flash permitió pedir prestado contra $1B en colateral falso y drenar $130M de Cream, su 3er exploit de 2021.

Fecha
Víctima
Cream Finance
Cadena(s)
Ethereum
Estado
Fondos robados

El 27 de octubre de 2021 a las 13:54 UTC, un atacante drenó aproximadamente 130 millones de dólares de Cream Finance v1 en uno de los exploits de una sola transacción más complejos en la historia de DeFi — 68 activos diferentes tocados, 9+ ETH en gas, y una manipulación de precio que convirtió $1B en colateral temporal en $130M en retiradas reales.

Qué ocurrió

Los mercados de préstamo de Cream v1 aceptaban yUSD — un wrapper portador de rendimiento de Yearn Finance — como colateral. El precio de yUSD en la contabilidad de Cream venía de un oráculo que leía el saldo de crYUSD mantenido por la posición de préstamo del atacante, escalado por el tipo de cambio asumido.

El ataque encadenó varias acciones:

  1. Pedir ~$1B en stablecoins prestados vía préstamo flash.
  2. Depositar las stablecoins en Yearn para acuñar una cantidad masiva de yUSD.
  3. Depositar el yUSD en Cream v1, que lo acreditó como colateral por aproximadamente el valor en dólares depositado.
  4. Manipular el cálculo del tipo de cambio yUSD/crYUSD para que el oráculo de Cream reportara un precio enormemente inflado para el colateral del atacante.
  5. Pedir prestado contra el colateral inflado, drenando la liquidez disponible de Cream en docenas de activos.
  6. Devolver el préstamo flash y marcharse con la diferencia neta.

La transacción tocó 68 mercados y tokens diferentes porque Cream los soportaba todos — y el atacante drenó lo que estuviera disponible en cada pool.

Consecuencias

  • Cream Finance pausó los mercados v1 en cuestión de horas, con ayuda de ingenieros de Yearn que identificaron el bug.
  • El atacante blanqueó a través de Tornado Cash; sin recuperación pública.
  • Este fue el tercer gran exploit de Cream de 2021 — incidentes anteriores en febrero y agosto habían drenado cantidades menores vía vulnerabilidades separadas. El tercero fue efectivamente el fin de Cream v1 como protocolo significativo.

Por qué importa

Cream v1 es el estudio de caso canónico de fallo de diseño de oráculo bajo préstamos flash: cualquier sistema que permita colateral cuyo precio dependa de una función de su propio saldo — o de un cálculo de tipo de cambio en un solo bloque — puede manipularse en la misma transacción en que la manipulación se lee. Los protocolos de préstamo modernos usan oráculos ponderados por tiempo, feeds de precios desacoplados y topes de precio en los tipos de colateral específicamente para prevenir el patrón Cream.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-cream-finance-hack-october-2021
  2. [02]coindesk.comhttps://www.coindesk.com/business/2021/10/27/cream-finance-exploited-in-flash-loan-attack-worth-over-100m
  3. [03]therecord.mediahttps://therecord.media/hackers-steal-130-million-from-cream-finance-the-companys-3rd-hack-this-year

Registros relacionados