DFX Finance, un protocol de schimb descentralizat pentru monede stabile fixate pe fiat, a raportat că a fost atacat la 2:21 pm ET. Un atacator necunoscut a sifonat aproximativ 7.5 milioane de dolari de la DFX, conform estimărilor cercetătorilor de securitate de la BlockSec.
Echipa DFX Finance a recunoscut exploitul de securitate și a declarat că a întrerupt toate contractele inteligente pentru a limita problema. „Am fost notificați cu privire la activitatea suspectă în 20-30 de minute de la prima tranzacție și am executat o pauză pentru toate contractele DFX în câteva minute după confirmarea atacului”, a spus.
Incidentul pare să fie un atac cu împrumut flash care l-a lăsat pe hacker să facă o retragere rău intenționată din DFX. Din cele 7.5 milioane de dolari în active furate, atacatorul a putut transfera în portofel numai active în valoare de 4.3 milioane de dolari, inclusiv 2963 eter (3.8 milioane de dolari) și ceva $500,000 în monede stabile.
Partea rămasă din bunurile furate — aproximativ $ 3.2 de milioane de - a fost extras de un bot MEV într-o tranzacție de front, numită și atac sandwich. Fondurile extrase de bot se află într-un adresa controlat de operatorul bot și poate fi recuperat dacă operatorul este dispus. DFX Finance are deja a întrebat operatorul să le returneze.
Vectorul de atac
Atacatorul a profitat de un mecanism nesigur de împrumut flash oferit de DFX Finance pe blockchain-ul Ethereum. Un împrumut flash este o caracteristică în care o cantitate mare de criptomonedă poate fi împrumutată fără garanții, numai dacă acele fonduri sunt returnate în aceeași tranzacție.
În timpul atacului, atacatorul a împrumutat monede stabile în cadrul DFX Finance și apoi le-a depus înapoi în fondurile de lichiditate ale DFX cu o „funcție de returnare nesigură” care a ocolit verificările sale de împrumut rapid. După împrumutul flash, atacatorul mai avea în posesie jetoane de fond de lichiditate, pe care le-a vândut.
Atacul a drenat jetoanele de lichiditate ale DFX prin mai multe împrumuturi flash pentru a prelua controlul a peste 7.5 milioane de dolari. Analiștii de securitate de la BlockSec spun că depozitele din fondul de lichiditate nu ar fi trebuit să fie permise, deoarece a păcălit protocolul făcându-i să creadă că fondurile au fost returnate și sunt în siguranță.
„Când un utilizator împrumută bani, protocolul nu ar trebui să permită apeluri de funcții care pot schimba echilibrul protocolului DFX”, a declarat CEO-ul BlockSec, Yajin Zhou, pentru The Block.
În timp ce împrumuturile flash sunt destinate tranzacționării prin arbitraj și îmbunătățirii eficienței capitalului, hackerii le-au abuzat în mod regulat pentru a exploata anumite vulnerabilități.
Anul trecut, DFX Finance ridicat o rundă de semințe de 5 milioane de dolari condusă de Polychain Capital și True Ventures.
© 2022 The Block Crypto, Inc. Toate drepturile rezervate. Acest articol este furnizat doar în scop informativ. Nu este oferit sau intenționat să fie utilizat ca avize legale, fiscale, de investiții, financiare sau de altă natură.
Sursa: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss