Protokol DeFi dForce je utrpel izgubo v višini več kot 3.6 milijona dolarjev, ki jo je heker uspel izčrpati zahvaljujoč napadu ponovnega vstopa, izvedenemu na verigah Arbitrum in Optimism.
Napad je bil posledica ranljivosti v funkciji pametne pogodbe, ki je uporabnikom omogočala izračun orakljskih cen, ko so povezani s Curve Finance.
Več kot 3.6 milijona dolarjev izgubljenih
Hekerju je uspelo izčrpati 3.6 milijona dolarjev kriptovalute z napadom ponovnega vstopa na protokol dForce DeFi. Hekerju je uspelo ciljati na trezor protokola na Curve Finance, platformi za avtomatizirano ustvarjanje trga (AMM), ki deluje na verigah blokov Arbitrum in Optimism. Vdor je razkril uporabnik Twitterja @ZoomerAnon, ki je tvitnil, da je dForce izgubil okoli 1.7 milijona dolarjev s serijo transakcij hitrih posojil, izvedenih v verigi Optimism Chain. Varnostno podjetje za blokovne verige PeckShield je potrdilo napad in ocenilo škodo na približno 2300 ETH v vrednosti približno 3.65 milijona dolarjev.
DeForce je prav tako potrdil napad na svoj uradni Twitter in dodal, da je začasno ustavil vse trezorje, da bi se izognil dodatni škodi.
»10. februarja so bili naši trezorji krivulje wstETH/ETH na Arbitrum & Optimism izkoriščeni in takoj smo zaustavili vse trezorje. Ranljivost je identificirana in izkoriščanje je bilo specifično za trezor dForce wstETH/ETH-Curve. Sredstva uporabnikov, dobavljena v dForce Lending in druge trezorje, so VARNA.”
Podrobnosti o napadu
Glede na razpoložljive podrobnosti o napadu je hekerju uspelo izkoristiti ranljivost ponovnega vstopa, ki je bila prisotna v funkciji pametne pogodbe, ki jo uporablja dForce za pridobivanje orakeljskih cen od Arbitrum in Optimism. Napadi ponovnega vstopa se zgodijo, ko lahko heker izkoristi napako v pametni pogodbi, kar mu omogoči večkratni dvig sredstev in njihov prenos v nepooblaščeno pogodbo. Znano je, da se ti napadi dogajajo na protokolih, ki so povezani s Curve Finance.
Varnostno podjetje za verige blokov PeckShield je pojasnilo, da je v primeru tega napada heker lahko manipuliral s ceno zavitega vstavljenega ETH v trezorju Curve (wstETHCRV-gauge) in likvidiral več pozicij hitrih posojil. Zaenkrat so sredstva še vedno na hekerjevem računu. DeForce je začasno ustavil vse pogodbe, da bi preprečil dodatne izgube za protokol, in poudaril, da so sredstva strank ostala varna. DeForce je tudi izjavil, da je napadalec ustvaril protokolarni dolg v višini 2.3 milijona dolarjev in dodal, da bodo napadalcu ponudili nagrado, če bodo sredstva vrnjena.
»Z varnostnim podjetjem @SlowMist_team in našimi ekosistemskimi partnerji smo sodelovali pri nadaljnji preiskavi zadeve in bi radi izkoriščevalcu ponudili nagrado, če bi bila sredstva vrnjena. Spremljajte nas za nadaljnje posodobitve.«
Ali je DeFi mehka tarča?
Zadnji napad na dForce se je zgodil dve leti po tem, ko je protokol izgubil 25 milijonov dolarjev v velikem napadu na protokol. Vendar je napadalec vrnil skoraj vsa ukradena sredstva. Medtem ko je bil v zadnjem napadu ukraden bistveno manjši znesek, je zadnji v dolgi vrsti napadov napadi ciljajo na ekosistem DeFi, ki je eden najhitreje rastočih ekosistemov v kripto. Glede na poročilo, ki ga je objavil TRM Labs, je bilo leta 3.7 zaradi vdorov v kriptovalute izgubljenih več kot 2022 milijarde dolarjev, pri čemer je več kot 80 % tega števila posledica izkoriščanja DeFi.
Val vdorov in ogromne izgube, o katerih poročajo, so očitno pritegnili pozornost regulatorjev, vključno z Evropsko unijo. Regulatorji so se zavezali, da si bodo prizadevali za uvedbo novih sprememb politike, da bi izboljšali nadzor nad DeFi s strani regulativnih organov.
Izjava o omejitvi odgovornosti: Ta članek je na voljo samo v informativne namene. Ni ponujen ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
Vir: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost