DFX Finance, decentralizirani protokol razmjene za fiat-vezane stablecoine, izvijestio je da je napadnut u 2:21 ET. Nepoznati napadač izvukao je približno 7.5 milijuna dolara iz DFX-a, prema procjenama sigurnosnih istraživača u BlockSecu.
Tim DFX Finance priznao je sigurnosno iskorištavanje i rekao da je pauzirao sve svoje pametne ugovore kako bi spriječio problem. "Bili smo obaviješteni o sumnjivoj aktivnosti unutar 20-30 minuta od prve transakcije i izvršili smo pauzu na svim DFX ugovorima unutar nekoliko minuta nakon potvrde napada", navodi se. , rekao je.
Čini se da je incident napad omogućen flash-loan-om koji je hakeru omogućio zlonamjerno povlačenje iz DFX-a. Od 7.5 milijuna dolara ukradene imovine, napadač je mogao prebaciti samo 4.3 milijuna dolara vrijednosti imovine u njihov novčanik — uključujući 2963 eter (3.8 milijuna dolara) i neki $500,000 u stabilnim kovanicama.
Preostali dio ukradene imovine - oko $ 3.2 milijuna - izvukao je MEV bot u početnoj transakciji, koja se naziva i sendvič napad. Sredstva koja je izvukao bot nalaze se u adresa kontrolira operater bota i može se vratiti ako je operater voljan. DFX Finance ima već Na pitanje operateru da ih vrati.
Vektor napada
Napadač je iskoristio nesiguran mehanizam flash-loan koji nudi DFX Finance na Ethereum blockchainu. Brzi zajam je značajka u kojoj se velika količina kriptovalute može posuditi bez kolaterala, samo ako se ta sredstva vrate u istoj transakciji.
Tijekom napada, napadač je posudio stabilne kovanice unutar DFX Financea i zatim ih deponirao natrag u DFX-ove fondove likvidnosti s "nesigurnom funkcijom povratnog poziva" koja je zaobišla njegove brze provjere zajma. Nakon brzog zajma, napadač je još uvijek imao u posjedu tokene fonda likvidnosti koje je prodao.
Napad je iscrpio DFX-ove tokene fonda likvidnosti putem višestrukih brzih zajmova kako bi preuzeo kontrolu nad više od 7.5 milijuna dolara. Sigurnosni analitičari u BlockSecu kažu da depoziti za prikupljanje likvidnosti nisu smjeli biti dopušteni, jer su prevarili protokol da vjeruje da su sredstva vraćena i da su sigurna.
"Kada korisnik posuđuje novac, protokol ne bi trebao dopustiti nikakve pozive funkcija koji mogu promijeniti ravnotežu DFX protokola", rekao je izvršni direktor BlockSeca Yajin Zhou za The Block.
Iako su brzi zajmovi namijenjeni arbitražnom trgovanju i poboljšanju kapitalne učinkovitosti, hakeri ih redovito zlorabe kako bi iskoristili određene ranjivosti.
Prošle godine, DFX Finance uzdignut početni krug od 5 milijuna dolara koji vode Polychain Capital i True Ventures.
© 2022. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicijski, financijski ili drugi savjeti.
Izvor: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss