DFX Finance, decentralizēts apmaiņas protokols ar fiat piesaistītām stabilām monētām, ziņoja, ka tai tika uzbrukts plkst. 2:21 pēc ET laika. Saskaņā ar BlockSec drošības pētnieku aprēķiniem nezināms uzbrucējs no DFX izsūka aptuveni 7.5 miljonus dolāru.
DFX Finance komanda atzina drošības izmantošanu un paziņoja, ka ir apturējusi visus viedos līgumus, lai novērstu šo problēmu. "Mums tika paziņots par aizdomīgo darbību 20–30 minūšu laikā pēc pirmā darījuma, un dažu minūšu laikā pēc uzbrukuma apstiprināšanas mēs veicām pauzi visos DFX līgumos," teikts ziņojumā. teica.
Šķiet, ka incidents ir zibatmiņas aizdevuma iespējots uzbrukums, kas ļāva hakeram ļaunprātīgi izstāties no DFX. No 7.5 miljonu dolāru nozagtajiem aktīviem uzbrucējs savā makā varēja ieskaitīt līdzekļus tikai 4.3 miljonu dolāru vērtībā, tostarp 2963 XNUMX ēteris (3.8 miljoni USD) un daži $500,000 stabilās monētās.
Atlikusī daļa no nozagto mantu — apm $ 3.2 miljoni Sākot no tika iegūts ar MEV robotu priekšējā darījumā, ko sauc arī par sviestmaižu uzbrukumu. Bot iegūtie līdzekļi atrodas an adrese kontrolē robota operators, un to var atgūt, ja operators vēlas. DFX Finance ir jau jautāja operatoram tās atdot.
Uzbrukuma vektors
Uzbrucējs izmantoja nedrošo ātrā aizdevuma mehānismu, ko Ethereum blokķēdē piedāvāja DFX Finance. Zibkredīts ir funkcija, kurā bez ķīlas var aizņemties lielu daudzumu kriptovalūtas tikai tad, ja šie līdzekļi tiek atgriezti vienā un tajā pašā darījumā.
Uzbrukuma laikā uzbrucējs aizņēmās stabilas monētas DFX Finance un pēc tam noguldīja tās atpakaļ DFX likviditātes fondos, izmantojot “nedrošu atzvanīšanas funkciju”, kas apieta ātrās aizdevuma pārbaudes. Pēc zibatmiņas aizdevuma uzbrucēja rīcībā joprojām bija likviditātes fonda žetoni, kurus viņi pārdeva.
Uzbrukums iztukšoja DFX likviditātes fonda žetonus, izmantojot vairākus zibatmiņas aizdevumus, lai pārņemtu kontroli pār vairāk nekā 7.5 miljoniem ASV dolāru. BlockSec drošības analītiķi saka, ka likviditātes fondu noguldījumus nedrīkstēja atļaut, jo tas lika protokolam domāt, ka līdzekļi ir atgriezti un ir droši.
"Kad lietotājs aizņemas naudu, protokolam nevajadzētu atļaut nekādus funkciju izsaukumus, kas var mainīt DFX protokola bilanci," The Block sacīja BlockSec izpilddirektors Jajins Džou.
Lai gan zibatmiņas aizdevumi ir paredzēti arbitrāžas tirdzniecībai un kapitāla efektivitātes uzlabošanai, hakeri regulāri tos ļaunprātīgi izmanto, lai izmantotu noteiktas ievainojamības.
Pagājušajā gadā DFX Finance izvirzīts 5 miljonu dolāru sēklu kārta, ko vadīja Polychain Capital un True Ventures.
© 2022 The Block Crypto, Inc. Visas tiesības aizsargātas. Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridiskas, nodokļu, investīciju, finanšu vai citas konsultācijas.
Avots: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss