DFX Finance, децентрализованный протокол обмена стейблкоинов с привязкой к фиату, сообщил, что он подвергся атаке в 2:21 по восточному времени. По оценкам исследователей безопасности из BlockSec, неизвестный злоумышленник вывел из DFX около 7.5 миллионов долларов.
Команда DFX Finance признала эксплойт безопасности и заявила, что приостановила все свои смарт-контракты, чтобы устранить проблему. «Мы были уведомлены о подозрительной активности в течение 20-30 минут после первой транзакции и выполнили паузу по всем контрактам DFX в течение нескольких минут после подтверждения атаки», — говорится в сообщении. — сказал.
Инцидент, по-видимому, представляет собой атаку с использованием флэш-кредита, которая позволила хакеру злонамеренно вывести средства из DFX. Из украденных активов на сумму 7.5 млн долларов злоумышленник смог перевести в свой кошелек только активы на сумму 4.3 млн долларов, в том числе 2963 XNUMX эфир (3.8 миллиона долларов) и некоторые $500,000 в стейблкоинах.
Оставшаяся часть похищенных активов — около $ 3.2 миллионов - был извлечен ботом MEV в ходе опережающей транзакции, также называемой сэндвич-атакой. Извлеченные ботом средства находятся в адрес контролируется оператором бота и может быть восстановлена, если оператор захочет. DFX Finance имеет уже спросил оператор, чтобы вернуть их.
Вектор атаки
Злоумышленник воспользовался небезопасным механизмом мгновенного кредита, предлагаемым DFX Finance на блокчейне Ethereum. Мгновенный кредит — это функция, с помощью которой можно заимствовать большое количество криптовалюты без залога, только если эти средства возвращаются в той же транзакции.
Во время атаки злоумышленник заимствовал стейблкоины в DFX Finance, а затем вложил их обратно в пулы ликвидности DFX с помощью «небезопасной функции обратного вызова», которая обошла его проверки мгновенного кредита. После мгновенного кредита у злоумышленника все еще были токены пула ликвидности, которые он продал.
Атака истощила токены пула ликвидности DFX с помощью нескольких мгновенных кредитов, чтобы получить контроль над более чем 7.5 миллионами долларов. Аналитики по безопасности в BlockSec говорят, что депозиты в пуле ликвидности не должны были быть разрешены, поскольку это обманом заставило протокол поверить в то, что средства были возвращены и находятся в безопасности.
«Когда пользователь занимает деньги, протокол не должен допускать никаких вызовов функций, которые могут изменить баланс протокола DFX», — сказал The Block генеральный директор BlockSec Яджин Чжоу.
Хотя флэш-кредиты предназначены для арбитражной торговли и повышения эффективности использования капитала, хакеры регулярно злоупотребляют ими, чтобы использовать определенные уязвимости.
В прошлом году DFX Finance поднятый начальный раунд стоимостью 5 миллионов долларов под руководством Polychain Capital и True Ventures.
© The Block Crypto, Inc., 2022. Все права защищены. Эта статья предоставлена исключительно для информационных целей. Он не предлагается или не предназначен для использования в качестве юридического, налогового, инвестиционного, финансового или другого совета.
Источник: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss