DFX Finance, decentralizirani protokol razmjene za fiat vezane stabilne coine, izvijestio je da je napadnut u 2:21 po istočnom vremenu. Nepoznati napadač je izvukao oko 7.5 miliona dolara iz DFX-a, prema procjenama sigurnosnih istraživača u BlockSec-u.
Tim DFX Finance je priznao sigurnosni eksploataciju i rekao da je pauzirao sve svoje pametne ugovore kako bi zaustavio problem. "Obaviješteni smo o sumnjivoj aktivnosti u roku od 20-30 minuta od prve transakcije i izvršili smo pauzu na svim DFX ugovorima u roku od nekoliko minuta nakon potvrde napada", stoji rekao.
Čini se da je incident bio napad s omogućenim flash pozajmljivanjem koji je hakeru omogućio zlonamjerno povlačenje iz DFX-a. Od 7.5 miliona dolara ukradene imovine, napadač je mogao prebaciti samo 4.3 miliona dolara imovine u njihov novčanik - uključujući 2963 eter (3.8 miliona dolara) i nešto $500,000 u stabilnim novcima.
Preostali dio ukradene imovine — oko $ 3.2 miliona - je ekstrahovan od strane MEV bota u transakciji koja se pokreće ispred, koja se naziva i sendvič napadom. Sredstva izvučena botovima se nalaze u adresa kontroliše bot operater i može se vratiti ako je operater voljan. DFX Finance ima već Na pitanje operater da ih vrati.
Vektor napada
Napadač je iskoristio nesiguran mehanizam flash-zajma koji nudi DFX Finance na Ethereum blockchainu. Flash zajam je funkcija u kojoj se velika količina kriptovalute može posuditi bez kolaterala, samo ako se ta sredstva vrate u istoj transakciji.
Tokom napada, napadač je pozajmio stabilne coine u okviru DFX Finance-a, a zatim ih vratio u DFX-ove likvidne fondove pomoću „nesigurne funkcije povratnog poziva“ koja je zaobišla njegove flash provjere zajma. Nakon flash pozajmice, napadač je još uvijek imao tokene fonda likvidnosti u posjedu, koje je prodao.
Napad je iscrpio tokene DFX-ovog fonda likvidnosti putem višestrukih flash zajmova kako bi preuzeo kontrolu nad preko 7.5 miliona dolara. Sigurnosni analitičari u BlockSec-u kažu da depoziti u fondu likvidnosti nisu trebali biti dozvoljeni, jer je to navelo protokol da povjeruje da su sredstva vraćena i da su sigurna.
“Kada korisnik pozajmi novac, protokol ne bi trebao dozvoliti bilo kakve pozive funkcija koji mogu promijeniti balans DFX protokola”, rekao je izvršni direktor BlockSec Yajin Zhou za Block.
Dok su flash krediti namijenjeni za arbitražnu trgovinu i poboljšanje kapitalne efikasnosti, hakeri su ih redovno zloupotrebljavali kako bi iskoristili određene ranjivosti.
Prošle godine, DFX Finance podignuta početni krug od 5 miliona dolara koji predvode Polychain Capital i True Ventures.
© 2022. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicioni, finansijski ili drugi savjeti.
Izvor: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss