DFX Finance, platforma handlowa stablecoin wspierana przez Polychain Capital i True Ventures ma Zatwierdzony że został zhakowany za 7.5 miliona dolarów.
Platforma handlowa poinformowała, że exploit rozpoczął się około 7:21 czasu UTC w czwartek i został powiadomiony o exploitach około 20-30 minut po zainicjowaniu pierwszej transakcji.
DFX Finance powiedział, że przyjął proaktywną postawę, aby zatrzymać operacje swoich inteligentnych kontraktów w celu powstrzymania ataku. Z powodu swojej interwencji zhakowany protokół stwierdził, że atakujący nie był w stanie przenieść wszystkich skradzionych środków, ponieważ bot MEV przechwycił aż 3.2 miliona dolarów.
Haker jednak zaryzykował część środków, które zostały wysłane do Tornado Cash, usługi miksowania kryptowalut, która została usankcjonowana przez Departament Skarbu Stanów Zjednoczonych. Atakujący DFX Finance był w stanie zdobyć fundusze na podstawie luki w protokole pożyczki flash.
Jak szczegółowo opisali badacze BlockSec, atakujący pożyczył środki od DFX Finance na blockchainie Ethereum i natychmiast zdeponował je z powrotem za pomocą „niezabezpieczonej funkcji zwrotnej”. To oszukało protokół, aby sądzić, że fundusze zostały wypłacone, podczas gdy w rzeczywistości tak się nie stało.
„Gdy użytkownik pożycza pieniądze, protokół nie powinien zezwalać na żadne wywołania funkcji, które mogą zmienić równowagę protokołu DFX”, powiedział The Block, dyrektor generalny BlockSec Yajin Zhou.
Atakującemu udało się wywieźć 2,963 ETH (o wartości około 3.8 miliona dolarów) i około 500,000 XNUMX dolarów. DFX Finance powiedział, że jego pula Polygon nie została naruszona, jednak protokół mówi, że po otwarciu wypłat wszyscy powinni spróbować skorzystać z ulgi, aby wydostać swoje fundusze.
Po raz dziesiąty protokół DeFi ma został ponownie zhakowany, podkreślając wezwanie do zachowania ostrożności wśród inwestorów i odpowiednie przepisy dotyczące bezpieczeństwa we wszystkich krajach.
Źródło obrazu: Shutterstock
Źródło: https://blockchain.news/news/defi-platform-dfx-finance-says-it-has-been-hacked-for-$7.5m