Protokół DeFi dForce poniósł stratę w wysokości ponad 3.6 miliona dolarów, które haker był w stanie zgarnąć dzięki atakowi reentrancy wykonanemu na sieci Arbitrum i Optimism.
Atak był spowodowany luką w funkcji inteligentnego kontraktu, która umożliwiała użytkownikom obliczanie cen wyroczni po podłączeniu do Curve Finance.
Stracone ponad 3.6 miliony dolarów
Haker był w stanie wyprowadzić kryptowalutę o wartości 3.6 miliona dolarów poprzez atak ponownego wejścia na protokół dForce DeFi. Haker był w stanie zaatakować skarbiec protokołu na Curve Finance, platformie automatycznego animatora rynku (AMM) działającej na łańcuchach bloków Arbitrum i Optimism. Hack został ujawniony przez użytkownika Twittera @ZoomerAnon, który napisał na Twitterze, że dForce straciło około 1.7 miliona dolarów w wyniku serii szybkich transakcji pożyczkowych przeprowadzonych w łańcuchu optymizmu. PeckShield, firma zajmująca się bezpieczeństwem Blockchain, potwierdziła atak i oszacowała szkody na około 2300 ETH, o wartości około 3.65 miliona dolarów.
DeForce potwierdził również atak na swój oficjalny uchwyt na Twitterze, dodając, że wstrzymał wszystkie skarbce, aby uniknąć dodatkowych szkód.
„10 lutego nasze skarbce krzywej wstETH/ETH na Arbitrum i Optimism zostały wykorzystane i natychmiast wstrzymaliśmy wszystkie skarbce. Luka została zidentyfikowana, a exploit był specyficzny dla skarbca wstETH/ETH-Curve firmy dForce. Środki użytkowników dostarczane do dForce Lending i innych skarbców są BEZPIECZNE.”
Szczegóły ataku
Zgodnie z dostępnymi szczegółami dotyczącymi ataku, haker był w stanie wykorzystać lukę w zabezpieczeniach związaną z ponownym wejściem, która była obecna w funkcji inteligentnego kontraktu wykorzystywanej przez dForce do uzyskiwania cen wyroczni od Arbitrum i Optimism. Ataki reentrancy mają miejsce, gdy haker jest w stanie wykorzystać błąd w inteligentnej umowie, umożliwiając mu wielokrotne wypłacanie środków, przenosząc je do nieautoryzowanego kontraktu. Wiadomo, że ataki te mają miejsce na protokołach powiązanych z Curve Finance.
PeckShield, firma zajmująca się bezpieczeństwem Blockchain, wyjaśniła, że w przypadku tego ataku haker był w stanie manipulować ceną zapakowanego stakowanego ETH w skarbcu Curve (wstETHCRV-gauge) i zlikwidować kilka pozycji pożyczki flash. Jak dotąd środki nadal znajdują się na koncie hakera. DeForce wstrzymał wszystkie kontrakty, aby zapobiec dodatkowym stratom w protokole i podkreślił, że fundusze klientów pozostają bezpieczne. DeForce stwierdził również, że atakujący stworzył dług protokołu w wysokości 2.3 miliona dolarów, a także dodał, że zaoferuje atakującemu nagrodę, jeśli fundusze zostaną zwrócone.
„Nawiązaliśmy współpracę z firmą zajmującą się bezpieczeństwem @SlowMist_team i naszymi partnerami ekosystemowymi w celu dalszego zbadania sprawy i chcielibyśmy zaoferować nagrodę eksploitowi, jeśli fundusze zostaną zwrócone. Bądź na bieżąco z dalszymi aktualizacjami”.
Czy DeFi jest miękkim celem?
Ostatni atak na dForce miał miejsce dwa lata po tym, jak protokół stracił 25 milionów dolarów w poważnym ataku na protokół. Jednak atakujący zwrócił prawie wszystkie skradzione środki. Podczas gdy w ostatnim ataku skradziono znacznie mniejszą kwotę, jest to ostatni z długiej serii ataków Ataki celując w ekosystem DeFi, który jest jednym z najszybciej rozwijających się ekosystemów kryptowalut. Według raportu opublikowanego przez TRM Labs, ponad 3.7 miliarda dolarów zostało utraconych z powodu włamań do kryptowalut w 2022 roku, z czego ponad 80% pochodziło z exploitów DeFi.
Fala włamań i zgłaszane ogromne straty oczywiście przyciągnęły uwagę organów regulacyjnych, w tym Unii Europejskiej. Organy regulacyjne zobowiązały się do pracy nad wprowadzeniem nowych zmian w polityce, aby poprawić nadzór DeFi przez organy regulacyjne.
Zastrzeżenie: ten artykuł służy wyłącznie do celów informacyjnych. Nie jest oferowana ani przeznaczona do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost