DFX Finance, decentralizovaný výmenný protokol pre stabilné coiny viazané na fiat, oznámil, že bol napadnutý o 2:21 ET. Podľa odhadov bezpečnostných výskumníkov z BlockSec neznámy útočník odčerpal z DFX približne 7.5 milióna dolárov.
Tím DFX Finance uznal zneužitie zabezpečenia a uviedol, že pozastavil všetky svoje inteligentné zmluvy, aby problém vyriešil. „O podozrivej aktivite sme boli informovaní do 20 až 30 minút od prvej transakcie a v priebehu niekoľkých minút po potvrdení útoku sme vykonali pauzu na všetkých DFX zmluvách. povedal.
Zdá sa, že incident je útokom s povolenou flashovou pôžičkou, ktorý umožnil hackerovi vykonať zlomyseľný výber z DFX. Z ukradnutých aktív vo výške 7.5 milióna dolárov mohol útočník do svojej peňaženky previesť iba majetok v hodnote 4.3 milióna dolárov – vrátane 2963 éter (3.8 milióna dolárov) a niektoré $500,000 v stablecoinoch.
Zvyšná časť ukradnutého majetku - asi $ 3.2 miliónov - bol extrahovaný robotom MEV v transakcii s predstihom, ktorá sa nazýva aj sendvičový útok. Prostriedky vyťažené robotmi sa nachádzajú v adresa ovládaný operátorom bota a môže byť obnovený, ak je operátor ochotný. DFX Finance má už spýtal sa prevádzkovateľa, aby ich vrátil.
Vektor útoku
Útočník využil nezabezpečený mechanizmus flashových pôžičiek, ktorý ponúka DFX Finance na blockchaine Ethereum. Blesková pôžička je funkcia, pri ktorej si možno požičať veľké množstvo kryptomeny bez záruky, iba ak sa tieto prostriedky vrátia v rámci tej istej transakcie.
Počas útoku si útočník požičal stablecoiny v rámci DFX Finance a potom ich vložil späť do fondov likvidity DFX s „funkciou nezabezpečeného spätného volania“, ktorá obchádzala kontroly bleskových pôžičiek. Po bleskovej pôžičke mal útočník stále v držbe tokeny fondu likvidity, ktoré predal.
Útok odčerpal tokeny likvidity spoločnosti DFX prostredníctvom viacerých bleskových pôžičiek, aby prevzal kontrolu nad 7.5 milióna dolárov. Bezpečnostní analytici z BlockSec tvrdia, že vklady spojené s likviditou by nemali byť povolené, pretože to oklamalo protokol, aby uveril, že prostriedky boli vrátené a bezpečné.
„Keď si používateľ požičia peniaze, protokol by nemal umožňovať žiadne volania funkcií, ktoré môžu zmeniť rovnováhu protokolu DFX,“ povedal pre The Block CEO BlockSec Yajin Zhou.
Zatiaľ čo bleskové pôžičky sú určené na arbitrážne obchodovanie a zlepšenie kapitálovej efektívnosti, hackeri ich pravidelne zneužívajú na využitie určitých zraniteľností.
Minulý rok DFX Finance zdvihol počiatočné kolo 5 miliónov dolárov vedené spoločnosťami Polychain Capital a True Ventures.
© 2022 The Block Crypto, Inc. Všetky práva vyhradené. Tento článok sa poskytuje iba na informačné účely. Neponúka sa ani sa nemá používať ako právne, daňové, investičné, finančné alebo iné poradenstvo.
Zdroj: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss