DFX Finance, פרוטוקול חליפין מבוזר עבור מטבעות יציבים עם פיאט, דיווח כי הוא הותקף בשעה 2:21 ET. תוקף לא ידוע שאב כ-7.5 מיליון דולר מ-DFX, על פי הערכות של חוקרי אבטחה בחברת BlockSec.
צוות DFX Finance הכיר בניצול האבטחה ואמר שהוא השהה את כל החוזים החכמים שלו כדי להכיל את הבעיה. "קיבלנו הודעה על הפעילות החשודה תוך 20-30 דקות מהעסקה הראשונה וביצענו הפסקה בכל חוזי ה-DFX תוך מספר דקות לאחר אישור המתקפה," אמר.
נראה שהתקרית היא התקפה התומכת בהלוואות פלאש, שאפשרה להאקר לבצע נסיגה זדונית מ-DFX. מתוך 7.5 מיליון דולר בנכסים שנגנבו, התוקף יכול היה להעביר לארנק נכסים בשווי 4.3 מיליון דולר בלבד - כולל 2963 אתר (3.8 מיליון דולר) וכמה $500,000 ב-stablecoins.
החלק הנותר של הנכסים הגנובים - בערך $ 3.2 מיליון - חולץ על ידי בוט MEV בעסקה קדמית, הנקראת גם מתקפת סנדוויץ'. הכספים שחולצו בוט יושבים ב-an כתובת נשלט על ידי מפעיל הבוט וניתן לשחזר אותו אם המפעיל מעוניין. ל-DFX Finance יש כְּבָר שאל המפעיל להחזיר אותם.
וקטור ההתקפה
התוקף ניצל מנגנון הלוואת פלאש לא מאובטח שמציע DFX Finance ב-Ethereum blockchain. הלוואת פלאש היא תכונה שבה ניתן לשאול כמות גדולה של מטבעות קריפטוגרפיים ללא בטחונות, רק אם הכספים הללו יוחזרו באותה עסקה.
במהלך המתקפה, התוקף שאל מטבעות יציבים בתוך DFX Finance ולאחר מכן הפקיד אותם בחזרה למאגרי הנזילות של DFX עם "פונקציית החזרה לא מאובטחת" שעקפה את בדיקות הלוואות הבזק שלו. לאחר הלוואת הבזק, עדיין היו בידי התוקף אסימוני מאגר נזילות, שאותם הם מכרו.
המתקפה רוקנה את אסימוני מאגר הנזילות של DFX באמצעות הלוואות פלאש מרובות כדי להשתלט על למעלה מ-7.5 מיליון דולר. אנליסטים של אבטחה ב-BlockSec טוענים שאסור היה לאפשר הפקדות במאגר נזילות, מכיוון שזה הוליד את הפרוטוקול להאמין שהכספים הוחזרו והם בטוחים.
"כאשר משתמש לווה כסף, הפרוטוקול לא אמור לאפשר שום קריאות פונקציה שיכולות לשנות את יתרת פרוטוקול DFX", אמר מנכ"ל BlockSec Yajin Zhou ל-The Block.
בעוד הלוואות פלאש נועדו למסחר בארביטראז' ולשיפור יעילות ההון, האקרים השתמשו בהן באופן קבוע כדי לנצל נקודות תורפה מסוימות.
בשנה שעברה, DFX Finance מורם סבב סיד של 5 מיליון דולר בהובלת Polychain Capital ו-True Ventures.
© 2022 The Crypto Block, Inc. כל הזכויות שמורות. מאמר זה מסופק למטרות מידע בלבד. הוא לא מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.
מקור: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss