DFX Finance, hajautettu vaihtoprotokolla fiat-sidottuille stabiileille kolikoille, ilmoitti, että sitä vastaan hyökättiin klo 2 ET. Tuntematon hyökkääjä haki noin 21 miljoonaa dollaria DFX:ltä BlockSecin tietoturvatutkijoiden arvioiden mukaan.
DFX Finance -tiimi myönsi tietoturvahyödyntämisen ja sanoi, että se on keskeyttänyt kaikki älykkäät sopimuksensa ongelman hillitsemiseksi. "Saimme ilmoituksen epäilyttävästä toiminnasta 20-30 minuutin sisällä ensimmäisestä tapahtumasta ja teimme tauon kaikissa DFX-sopimuksissa muutaman minuutin kuluessa hyökkäyksen vahvistamisesta", se sanoi.
Tapaus näyttää olevan flash-lainakäyttöinen hyökkäys, joka antoi hakkerin tehdä haitallisen vetäytymisen DFX:stä. 7.5 miljoonan dollarin varastetusta omaisuudesta hyökkääjä pystyi siirtämään vain 4.3 miljoonan dollarin arvosta omaisuutta heidän lompakkoonsa - mukaan lukien 2963 XNUMX eetteriä (3.8 miljoonaa dollaria) ja joitakin $500,000 stabiileissa kolikoissa.
Loput varastetusta omaisuudesta - noin $ 3.2 euroa - MEV-botti poimi sen etukäteistapahtumassa, jota kutsutaan myös sandwich-hyökkäykseksi. Botilla puretut varat sijaitsevat an osoite botin operaattorin hallinnassa ja se voidaan palauttaa, jos operaattori haluaa. DFX Financella on jo kysyi operaattori palauttaa ne.
Hyökkäysvektori
Hyökkääjä käytti hyväkseen DFX Financen Ethereum-lohkoketjussa tarjoamaa turvatonta pikalainamekanismia. Flash-laina on ominaisuus, jossa suuri määrä kryptovaluuttaa voidaan lainata ilman vakuuksia vain, jos varat palautetaan samassa tapahtumassa.
Hyökkäyksen aikana hyökkääjä lainasi stabiileja kolikoita DFX Financesta ja talletti ne sitten takaisin DFX:n likviditeettipooliin "turvattomalla takaisinsoittotoiminnolla", joka ohitti sen pikalainatarkastukset. Pikalainan jälkeen hyökkääjällä oli edelleen hallussaan likviditeettipooli tokeneita, jotka he myivät pois.
Hyökkäys tyhjensi DFX:n likviditeettipoolit useiden flash-lainojen kautta ja otti haltuunsa yli 7.5 miljoonaa dollaria. BlockSecin tietoturva-analyytikot sanovat, että likviditeettipoolitalletuksia ei olisi pitänyt sallia, koska se huijasi protokollan uskomaan, että varat on palautettu ja turvassa.
"Kun käyttäjä lainaa rahaa, protokollan ei pitäisi sallia funktiokutsuja, jotka voivat muuttaa DFX-protokollan tasapainoa", BlockSecin toimitusjohtaja Yajin Zhou kertoi The Blockille.
Vaikka flash-lainat on tarkoitettu arbitraasikauppaan ja pääomatehokkuuden parantamiseen, hakkerit ovat säännöllisesti käyttäneet niitä väärin hyödyntääkseen tiettyjä haavoittuvuuksia.
Viime vuonna DFX Finance esille Polychain Capitalin ja True Venturesin johtama 5 miljoonan dollarin siemenkierros.
© 2022 The Block Crypto, Inc. Kaikki oikeudet pidätetään. Tämä artikkeli on tarkoitettu vain tiedoksi. Sitä ei tarjota eikä ole tarkoitettu käytettäväksi juridisena, vero-, sijoitus-, rahoitus- tai muuna neuvona.
Lähde: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss