DeFi protokolli dForce kandis üle 3.6 miljoni dollari suuruse kahju, mille häkker suutis tänu Arbitrumi ja Optimismi kettidele sooritatud rünnakule tagasi maksta.
Rünnak oli tingitud nutika lepingu funktsiooni haavatavusest, mis võimaldas kasutajatel Curve Finance'iga ühenduses olles arvutada Oracle'i hindu.
Üle 3.6 miljoni dollari kaotatud
Häkker suutis dForce DeFi protokolli taassisenemise rünnaku kaudu välja võtta 3.6 miljoni dollari väärtuses krüptovaluutat. Häkker suutis sihtida protokolli varahoidla Curve Finance'il, automatiseeritud turutegija (AMM) platvormil, mis töötab Arbitumi ja Optimismi plokiahelatel. Häkkimise tõi päevavalgele Twitteri kasutaja @ZoomerAnon, kes säutsus, et dForce kaotas Optimismi ahelas sooritatud kiirlaenutehingute tõttu umbes 1.7 miljonit dollarit. Blockchaini turvafirma PeckShield kinnitas rünnakut ja hindas kahju suuruseks umbes 2300 ETH, väärtusega umbes 3.65 miljonit dollarit.
DeForce kinnitas ka rünnakut oma ametlikule Twitteri käepidemele, lisades, et peatas kõik varahoidlad, et vältida lisakahjustusi.
„10. veebruaril kasutati meie Arbitrum & Optimismi wstETH/ETH Curve võlve ja me peatasime kohe kõik võlvid. Haavatavus on tuvastatud ja ärakasutamine oli spetsiifiline dForce'i wstETH/ETH-Curve võlvile. dForce Lendingule ja muudele varahoidlatele antud kasutajate raha on OHUTU.
Rünnaku üksikasjad
Rünnaku kohta saadaolevate üksikasjade kohaselt suutis häkker ära kasutada taassisenemise haavatavust, mis oli nutikas lepingufunktsioonis, mida dForce kasutas, et saada Arbitumilt ja Optimismilt oraakli hindu. Reentancy rünnakud tekivad siis, kui häkker suudab nutikas lepingus esinevat viga ära kasutada, võimaldades neil korduvalt raha välja võtta, kandes need üle volitamata lepingusse. Teadaolevalt esinevad need rünnakud protokollidega, mis on seotud Curve Finance'iga.
Blockchaini turvafirma PeckShield selgitas, et selle rünnaku puhul suutis häkker manipuleerida Curve'i varahoidlas (wstETHCRV-gauge) pakitud ETH hinnaga ja likvideerida mitu kiirlaenupositsiooni. Siiani on raha häkkeri kontol. DeForce on peatanud kõik lepingud, et vältida protokolli täiendavaid kaotusi, ja rõhutanud, et klientide raha on endiselt turvaline. DeForce teatas ka, et ründaja oli tekitanud 2.3 miljoni dollari suuruse protokollivõla ning lisas ka, et raha tagastamise korral pakuvad nad ründajale pearaha.
"Oleme asja edasiseks uurimiseks teinud koostööd turvafirmaga @SlowMist_team ja meie ökosüsteemi partneritega ning soovime raha tagastamise korral ekspluateerijale hüvitust pakkuda. Olge kursis edasiste uuendustega."
Kas DeFi on pehme sihtmärk?
Viimane rünnak dForce'i vastu toimus kaks aastat pärast seda, kui protokoll kaotas protokolli suure rünnaku tõttu 25 miljonit dollarit. Ründaja tagastas aga peaaegu kogu varastatud raha. Kui viimases rünnakus varastati oluliselt väiksem summa, siis see on viimane pikas reas rünnakud sihiks DeFi ökosüsteem, mis on krüpto üks kiiremini kasvavaid ökosüsteeme. TRM Labsi avaldatud aruande kohaselt kaotati 3.7. aastal krüptohäkkide tõttu üle 2022 miljardi dollari, millest üle 80% moodustas DeFi ärakasutamine.
Häkkimiste hulk ja teatatud tohutud kahjud on ilmselgelt äratanud reguleerivate asutuste, sealhulgas Euroopa Liidu tähelepanu. Reguleerivad asutused on lubanud töötada uute poliitiliste muudatuste sisseviimiseks, et aidata parandada reguleerivate asutuste teostatavat DeFi järelevalvet.
Kohustustest loobumine: see artikkel on ette nähtud ainult teavitamise eesmärgil. Seda ei pakuta ega kavatseta kasutada juriidilise, maksu-, investeerimis-, finants- või muu nõuandena.
Allikas: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost