DFX Finance, дэцэнтралізаваны пратакол абмену для стейблкоинов, прывязаных да фіятам, паведаміў, што быў атакаваны ў 2:21 па ўсходнім часе. Паводле ацэнак даследчыкаў бяспекі з BlockSec, невядомы зламыснік выцягнуў з DFX каля 7.5 мільёнаў долараў.
Каманда DFX Finance прызнала эксплойт бяспекі і заявіла, што прыпыніла ўсе свае смарт-кантракты, каб стрымаць праблему. «Мы атрымалі паведамленне аб падазронай актыўнасці на працягу 20-30 хвілін пасля першай транзакцыі і прыпынілі ўсе кантракты DFX на працягу некалькіх хвілін пасля пацверджання атакі», - гаворыцца ў паведамленні. сказаў.
Падобна на тое, што інцыдэнт быў атакай з падтрымкай флэш-пазыкі, якая дазволіла хакеру зламысна зняць грошы з DFX. З выкрадзеных актываў на 7.5 мільёна долараў зламыснік мог перавесці ў свой кашалёк актывы на суму толькі 4.3 мільёна долараў — у тым ліку 2963 эфір ($3.8 млн) і некаторыя $500,000 у стейблкоинах.
Астатняя частка выкрадзеных актываў — каля $ 3.2 мільёнаў - быў здабыты ботам MEV падчас папярэдняй транзакцыі, якую таксама называюць сэндвіч-атакай. Здабытыя ботам сродкі знаходзяцца ў an адрас кантралюецца аператарам бота і можа быць адноўлена, калі аператар захоча. DFX Finance мае ўжо спытаў аператар, каб вярнуць іх.
Вектар атакі
Зламыснік скарыстаўся небяспечным механізмам флэш-пазыкі, прапанаваным DFX Finance на блокчейне Ethereum. Флэш-крэдыт - гэта функцыя, пры якой вялікую суму крыптавалюты можна пазычыць без закладу, толькі калі гэтыя сродкі будуць вернуты ў той жа транзакцыі.
Падчас атакі зламыснік пазычыў стейблкойны ў DFX Finance, а затым змясціў іх назад у пулы ліквіднасці DFX з дапамогай «функцыі небяспечнага зваротнага выкліку», якая абыходзіла праверкі флэш-пазык. Пасля флэш-пазыкі ў зламысніка ўсё яшчэ былі токены пула ліквіднасці, якія яны прадалі.
Атака вычарпала токены пулу ліквіднасці DFX праз некалькі флэш-пазык, каб атрымаць кантроль над больш чым 7.5 мільёна долараў. Аналітыкі па бяспецы з BlockSec кажуць, што дэпазіты ў пул ліквіднасці не павінны былі быць дазволеныя, бо гэта прымусіла пратакол падмануць, каб паверыць, што сродкі былі вернуты і бяспечныя.
«Калі карыстальнік пазычае грошы, пратакол не павінен дазваляць ніякіх выклікаў функцый, якія могуць змяніць баланс пратаколу DFX», — сказаў The Block генеральны дырэктар BlockSec Яджын Чжоу.
У той час як тэрміновыя крэдыты прызначаны для арбітражнага гандлю і павышэння эфектыўнасці капіталу, хакеры рэгулярна злоўжываюць імі, каб выкарыстаць пэўныя слабыя месцы.
У мінулым годзе DFX Finance падняты пачатковы раўнд на 5 мільёнаў долараў пад кіраўніцтвам Polychain Capital і True Ventures.
© 2022 The Block Crypto, Inc. Усе правы абаронены. Гэты артыкул прадастаўляецца выключна ў інфармацыйных мэтах. Ён не прапануецца і не прызначаецца для выкарыстання ў якасці юрыдычных, падатковых, інвестыцыйных, фінансавых ці іншых рэкамендацый.
Крыніца: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss