Fiatiga seotud stabiilsete müntide detsentraliseeritud vahetusprotokoll DFX Finance teatas, et seda rünnati kell 2 ET. BlockSeci turvateadlaste hinnangul tõmbas tundmatu ründaja DFX-ilt umbes 21 miljonit dollarit.
DFX Finance'i meeskond tunnistas turvalisuse ärakasutamist ja teatas, et on probleemi lahendamiseks peatanud kõik oma nutikad lepingud. "Meid teavitati kahtlasest tegevusest 20-30 minuti jooksul pärast esimest tehingut ja tegime mõne minuti jooksul pärast rünnaku kinnitamist kõigi DFX-i lepingute puhul pausi," ütles ta. ütles.
Juhtum näib olevat kiirlaenu toega rünnak, mis lasi häkkeril DFX-ist pahatahtlikult lahkuda. Varastatud 7.5 miljoni dollari suurusest varast suutis ründaja nende rahakotti kanda vaid 4.3 miljoni dollari väärtuses vara – sealhulgas 2963 XNUMX eetrit (3.8 miljonit dollarit) ja mõned $500,000 stabiilsetes müntides.
Ülejäänud osa varastatud varadest - umbes $ 3.2 miljonit - ekstraheeris MEV-i robot eeskätt tehtud tehinguga, mida nimetatakse ka võileivarünnakuks. Botiga kaevandatud vahendid asuvad an aadress juhib roboti operaator ja selle saab taastada, kui operaator seda soovib. DFX Finance'il on juba küsis operaator need tagastama.
Rünnaku vektor
Ründaja kasutas ära ebaturvalist kiirlaenumehhanismi, mida DFX Finance pakkus Ethereumi plokiahelas. Välklaen on funktsioon, mille puhul saab ilma tagatiseta laenata suures koguses krüptovaluutat ainult siis, kui need vahendid tagastatakse samas tehingus.
Rünnaku ajal laenas ründaja DFX Finance'is stabiilseid münte ja paigutas need seejärel tagasi DFX-i likviidsuskogumitesse "ebaturvalise tagasihelistamise funktsiooniga", mis möödus kiirlaenu kontrollimisest. Pärast välklaenu olid ründaja valduses veel likviidsusfondi märgid, mille nad maha müüsid.
Rünnak tühjendas DFX-i likviidsusfondi žetoonid mitme kiirlaenu kaudu, et saada kontrolli üle 7.5 miljoni dollari. BlockSeci turvaanalüütikud väidavad, et likviidsusfondi hoiused ei oleks tohtinud olla lubatud, kuna see pettis protokolli, et uskuda, et raha on tagastatud ja turvaline.
"Kui kasutaja laenab raha, ei tohiks protokoll lubada ühtegi funktsioonikutset, mis võib muuta DFX-protokolli tasakaalu," ütles BlockSeci tegevjuht Yajin Zhou The Blockile.
Kuigi kiirlaenud on mõeldud arbitraažiga kauplemiseks ja kapitali tõhususe parandamiseks, on häkkerid neid regulaarselt kuritarvitanud teatud haavatavuste ärakasutamiseks.
Eelmisel aastal DFX Finance tõstatatud 5 miljoni dollari suurune seemnevoor, mida juhivad Polychain Capital ja True Ventures.
© 2022 The Block Crypto, Inc. Kõik õigused kaitstud. See artikkel on esitatud ainult informatiivsel eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- ega muu nõuandena.
Allikas: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss