Протокол децентрализованных финансов (DeFi) dForce подвергся атаке уязвимости с повторным входом, что привело к потере криптоактивов на сумму 3.6 миллиона долларов.
Злоумышленник нацелился на хранилище протокола на платформе автоматизированного маркет-мейкера (AMM) Curve Finance, которая работает на блокчейнах Arbitrum и Optimism.
dForce эксплуатируется за 3.65 миллиона долларов
Взлом был впервые отмечен пользователем Twitter. @ЗумерАнон который объявил, что dForce потеряла около 1.7 миллиона долларов в результате серии срочных кредитных транзакций в сети Optimism. Атака была позже подтвердил фирмой по безопасности блокчейна PeckShield, которая округила общие потери до 2,300 токенов ETH (3.65 миллиона долларов).
Хакер использовал уязвимость повторного входа, присутствующую в функции смарт-контракта, которую dForce использует для получения цен оракула на Arbitrum и Optimism при подключении к Curve.
Атака с повторным входом происходит, когда злоумышленник использует ошибку в смарт-контракте и неоднократно выводит средства, переведенные на несанкционированный контракт. Общеизвестно, что такие атаки происходят на протоколы, связанные с Curve, в то время как AMM остается нетронутым.
PeckShield также пояснила, что злоумышленник манипулировал ценой ETH в обернутых ставках в хранилище Curve (wstETHCRV-gauge) и смог ликвидировать несколько позиций срочного кредита, используя wstETHCRV-gauge в качестве залога.
Первоначальная сумма, 0.99ETH, была выведена из системы DeFi RAILGUN Project и переведена через сеть Synapse в Arbitrum и Optimism. На момент публикации средства все еще находились на счету эксплуататора.
dForce предлагает награду злоумышленнику
дфорс подтвердил, что атака, которая была характерна только для его хранилища wstETH/ETH-Curve, была локализована, и все хранилища были приостановлены. Протокол заверил пользователей, что средства, переданные в другие хранилища, в том числе кредитные, находятся в безопасности.
Платформа также раскрытый что эксплуататор создал протокольный долг в размере 2.3 миллиона долларов после ликвидации 1,031.42 и wstETH/ETH на Arbitrum и Optimum соответственно.
«Мы связались с охранной фирмой @SlowMist_team и нашими партнерами по экосистеме для дальнейшего расследования этого вопроса и хотели бы предложить вознаграждение эксплуататору, если средства будут возвращены. Следите за дальнейшими обновлениями», — сказал dForce.
Binance Free $ 100 (Эксклюзив): Используйте эту ссылку, зарегистрироваться и получить 100 долларов бесплатно и 10% скидку на Binance Futures в первый месяц (terms).
Специальное предложение PrimeXBT: Используйте эту ссылку, зарегистрироваться и ввести код POTATO50, чтобы получить до 7,000 долларов США на свои депозиты.
Источник: https://cryptopotato.com/defi-protocol-dforce-loses-3-6m-in-reentrancy-attack/