DFX Finance, zdecentralizowany protokół wymiany dla stablecoinów fiat-pegged, poinformował, że został zaatakowany o 2:21 czasu wschodniego. Według szacunków badaczy bezpieczeństwa z BlockSec nieznany napastnik wyciągnął około 7.5 miliona dolarów z DFX.
Zespół DFX Finance potwierdził lukę bezpieczeństwa i powiedział, że wstrzymał wszystkie swoje inteligentne kontrakty, aby rozwiązać problem. „Zostaliśmy powiadomieni o podejrzanej aktywności w ciągu 20-30 minut od pierwszej transakcji i wykonaliśmy pauzę na wszystkich kontraktach DFX w ciągu kilku minut po potwierdzeniu ataku” powiedziany.
Incydent wydaje się być atakiem z użyciem pożyczki błyskawicznej, który pozwolił hakerowi na złośliwe wycofanie się z DFX. Spośród skradzionych aktywów o wartości 7.5 miliona, atakujący mógł przenieść do swojego portfela aktywa o wartości 4.3 miliona dolarów – w tym 2963 eter (3.8 miliona dolarów) i trochę $500,000 w stablecoinach.
Pozostała część skradzionego majątku — około $ 3.2 mln - został wydobyty przez bota MEV w ramach wstępnej transakcji, zwanej również atakiem kanapkowym. Fundusze pobrane przez bota znajdują się w adres kontrolowane przez operatora bota i można je odzyskać, jeśli operator tego chce. DFX Finance ma już zapytał operator do ich zwrotu.
Wektor ataku
Atakujący wykorzystał niezabezpieczony mechanizm flash-loan oferowany przez DFX Finance na blockchainie Ethereum. Pożyczka błyskawiczna to funkcja, w której można pożyczyć dużą ilość kryptowaluty bez zabezpieczenia, tylko jeśli środki te zostaną zwrócone w tej samej transakcji.
Podczas ataku atakujący pożyczył stablecoiny w DFX Finance, a następnie zdeponował je z powrotem w pulach płynności DFX za pomocą „niezabezpieczonej funkcji zwrotnej”, która ominęła kontrole flash-loan. Po pożyczce błyskawicznej atakujący nadal posiadał tokeny puli płynności, które sprzedał.
Atak wyczerpał tokeny puli płynności DFX za pomocą wielu pożyczek flash, aby przejąć kontrolę nad ponad 7.5 miliona dolarów. Analitycy bezpieczeństwa z BlockSec twierdzą, że depozyty w puli płynności nie powinny były być dozwolone, ponieważ oszukało protokół, aby uwierzył, że środki zostały zwrócone i są bezpieczne.
„Gdy użytkownik pożycza pieniądze, protokół nie powinien zezwalać na żadne wywołania funkcji, które mogą zmienić równowagę protokołu DFX”, powiedział The Block, dyrektor generalny BlockSec Yajin Zhou.
Chociaż pożyczki flash są przeznaczone do handlu arbitrażowego i poprawy wydajności kapitału, hakerzy regularnie nadużywają ich, aby wykorzystać pewne luki w zabezpieczeniach.
W zeszłym roku DFX Finance runda nasion o wartości 5 milionów dolarów prowadzona przez Polychain Capital i True Ventures.
© 2022 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss