DFX Finance, decentralizuotas fiat pririštų stabilių monetų keitimo protokolas, pranešė, kad jis buvo užpultas 2 val. ET. Remiantis „BlockSec“ saugumo tyrėjų skaičiavimais, nežinomas užpuolikas iš DFX atsiėmė maždaug 21 mln.
„DFX Finance“ komanda pripažino saugumo išnaudojimą ir pareiškė, kad pristabdė visas išmaniąsias sutartis, kad išspręstų problemą. „Mums buvo pranešta apie įtartiną veiklą per 20–30 minučių nuo pirmojo sandorio ir per kelias minutes po atakos patvirtinimo padarėme pauzę visose DFX sutartyse“, – rašoma pranešime. sakė.
Panašu, kad incidentas buvo ataka su greita paskola, leidžiančia įsilaužėliui piktybiškai pasitraukti iš DFX. Iš 7.5 mln. USD pavogto turto užpuolikas į savo piniginę galėjo pervesti tik 4.3 mln. USD vertės turto, įskaitant 2963 eteris (3.8 mln. USD) ir kai kurie $500,000 stabiliose monetose.
Likusi dalis pavogto turto – apie 3.2 milijonų JAV dolerių - buvo ištrauktas MEV roboto, vykdydamas išankstinį sandorį, dar vadinamą sumuštinio ataka. „Bot“ išgautos lėšos slypi an adresas kontroliuoja roboto operatorius ir gali būti atkurtas, jei operatorius nori. „DFX Finance“ turi jau paprašė operatorius juos grąžintų.
Atakos vektorius
Užpuolikas pasinaudojo nesaugiu greitos paskolos mechanizmu, kurį „DFX Finance“ pasiūlė „Ethereum“ blokų grandinėje. Greitoji paskola – tai funkcija, kai be užstato galima pasiskolinti didelę kriptovaliutos sumą, tik tuo atveju, jei tos lėšos grąžinamos atliekant tą pačią operaciją.
Per ataką užpuolikas pasiskolino stabilias monetas iš „DFX Finance“ ir grąžino jas atgal į DFX likvidumo fondus, naudodamas „nesaugią atgalinio ryšio funkciją“, kuri apeidavo greitųjų paskolų patikras. Po greitos paskolos užpuolikas vis dar turėjo likvidumo fondo žetonus, kuriuos pardavė.
Ataka išnaudojo DFX likvidumo fondo žetonus per kelias greitas paskolas ir perėmė daugiau nei 7.5 mln. „BlockSec“ saugumo analitikai teigia, kad likvidumo fondo indėliai neturėjo būti leidžiami, nes protokolas buvo apgautas ir patikėjo, kad lėšos buvo grąžintos ir saugios.
„Kai vartotojas skolinasi pinigų, protokolas neturėtų leisti jokių funkcijų iškvietimų, galinčių pakeisti DFX protokolo balansą“, – „The Block“ sakė „BlockSec“ generalinis direktorius Yajin Zhou.
Nors greitosios paskolos yra skirtos arbitražinei prekybai ir kapitalo efektyvumo didinimui, įsilaužėliai reguliariai jomis piktnaudžiauja, kad išnaudotų tam tikras pažeidžiamumas.
Praėjusiais metais „DFX Finance“. iškėlė 5 milijonų dolerių vertės pradėjimo ratas, kuriam vadovavo Polychain Capital ir True Ventures.
© 2022 „The Block Crypto, Inc.“. Visos teisės saugomos. Šis straipsnis pateiktas tik informaciniais tikslais. Ji nesiūloma ir nesiekiama naudoti kaip teisinė, mokesčių, investavimo, finansinė ar kita konsultacija.
Šaltinis: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss