DFX Finance, децентрализиран протокол за размена за фиат-поврзани stablecoins, објави дека бил нападнат во 2:21 по ET. Според проценките на безбедносните истражувачи во BlockSec, непознат напаѓач одзел околу 7.5 милиони долари од DFX.
Тимот на DFX Finance ја призна безбедносната експлоатација и рече дека ги паузирала сите свои паметни договори за да го ограничи проблемот. „Бевме известени за сомнителната активност во рок од 20-30 минути од првата трансакција и извршивме пауза на сите договори со DFX во рок од неколку минути по потврдувањето на нападот“, рече.
Инцидентот се чини дека е напад овозможен со блиц-заем кој му дозволи на хакерот да направи злонамерно повлекување од DFX. Од 7.5 милиони долари во украдени средства, напаѓачот можел само да пренесе средства во вредност од 4.3 милиони долари во нивниот паричник - вклучително и 2963 етер (3.8 милиони долари) и некои $500,000 во стабилни монети.
Останатиот дел од украдените средства - околу $ 3.2 милиони - беше извлечен од MEV бот во предна трансакција, наречена и напад со сендвич. Средствата извлечени од бот седат во еден адреса контролирани од бот-операторот и може да се повратат доколку операторот сака. DFX Finance има веќе праша операторот да ги врати.
Векторот за напад
Напаѓачот го искористи несигурниот механизам за блиц-заем што го нуди DFX Finance на блокчејнот Ethereum. Флеш заем е карактеристика во која може да се позајми голема количина криптовалута без обезбедување, само ако тие средства се вратат во истата трансакција.
За време на нападот, напаѓачот позајмил стабилни коини во рамките на DFX Finance, а потоа ги депонирал назад во базените за ликвидност на DFX со „несигурна функција за повратен повик“ која ги заобиколила проверките на флеш-заемот. По блицот заем, напаѓачот сè уште имал токени за ликвидност, кои ги продале.
Нападот ги исцеди токените за ликвидност на DFX преку повеќе флеш заеми за да ја преземе контролата над 7.5 милиони долари. Безбедносните аналитичари во BlockSec велат дека не требало да се дозволат депозити со ликвидност, бидејќи го измамиле протоколот да верува дека средствата се вратени и дека се сигурни.
„Кога корисникот позајмува пари, протоколот не треба да дозволува повици на функции што можат да го променат балансот на протоколот DFX“, изјави извршниот директор на BlockSec, Јаџин Џоу, за The Block.
Додека флеш заемите се наменети за арбитражна трговија и подобрување на капиталната ефикасност, хакерите редовно ги злоупотребуваат за да искористат одредени пропусти.
Минатата година, DFX Finance зголеми круг од 5 милиони долари, предводен од Polychain Capital и True Ventures.
© 2022 Блок Крипто, Inc. Сите права се задржани. Овој напис е даден само за информативни цели. Не се нуди или е наменет да се користи како легален, данок, инвестиции, финансиски или други совети.
Извор: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss