DFX Finance, decentralizirani menjalni protokol za stabilne kovance, vezane na fiat, je poročal, da je bil napaden ob 2:21 ET. Po ocenah varnostnih raziskovalcev pri BlockSec je neznani napadalec iz DFX-ja odtujil približno 7.5 milijona dolarjev.
Skupina DFX Finance je priznala varnostno zlorabo in dejala, da je začasno ustavila vse svoje pametne pogodbe, da bi omejila težavo. "O sumljivi dejavnosti smo bili obveščeni v 20-30 minutah po prvi transakciji in smo v nekaj minutah po potrditvi napada izvedli premor na vseh pogodbah DFX," je dejal. je dejal.
Zdi se, da gre pri incidentu za napad z omogočenim bliskovnim posojilom, ki je hekerju omogočil zlonamerni dvig iz DFX. Od 7.5 milijona dolarjev ukradenega premoženja je lahko napadalec v svojo denarnico prenesel le 4.3 milijona dolarjev vrednega premoženja – vključno z 2963 etra (3.8 milijona dolarjev) in nekaj $500,000 v stabilnih kovancih.
Preostali del ukradenega premoženja - približno $ 3.2 milijonov - je pridobil bot MEV v začetni transakciji, imenovani tudi sendvič napad. Sredstva, ki jih pridobi bot, sedijo v Naslov nadzira operater bota in ga je mogoče obnoviti, če je operater pripravljen. DFX Finance ima že prosil operater, da jih vrne.
Vektor napada
Napadalec je izkoristil nevaren mehanizem hitrega posojila, ki ga ponuja DFX Finance na verigi blokov Ethereum. Hitro posojilo je funkcija, pri kateri si je mogoče izposoditi veliko količino kriptovalute brez zavarovanja, le če se ta sredstva vrnejo v isti transakciji.
Med napadom si je napadalec izposodil stabilne kovance znotraj DFX Finance in jih nato deponiral nazaj v likvidnostne sklade DFX z »nevarno funkcijo povratnega klica«, ki je zaobšla njegove preglede hitrih posojil. Po hitrem posojilu je imel napadalec še vedno v posesti žetone likvidnostnega sklada, ki jih je prodal.
Napad je izčrpal DFX-jeve žetone likvidnostnega sklada prek več hitrih posojil, da bi prevzel nadzor nad več kot 7.5 milijona dolarjev. Varnostni analitiki pri BlockSec pravijo, da depoziti v skladu z likvidnostjo ne bi smeli biti dovoljeni, saj so zavajali protokol, da je verjel, da so bila sredstva vrnjena in varna.
"Ko si uporabnik izposodi denar, protokol ne bi smel dovoliti nobenih funkcijskih klicev, ki bi lahko spremenili ravnotežje protokola DFX," je za The Block povedal izvršni direktor BlockSec Yajin Zhou.
Medtem ko so hitra posojila namenjena arbitražnemu trgovanju in izboljšanju kapitalske učinkovitosti, jih hekerji redno zlorabljajo za izkoriščanje določenih ranljivosti.
Lani DFX Finance postavljeno začetni krog v vrednosti 5 milijonov dolarjev, ki ga vodita Polychain Capital in True Ventures.
© 2022 The Block Crypto, Inc. Vse pravice pridržane. Ta članek je na voljo samo v informativne namene. Ni na voljo ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
Vir: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss