DFX Finance, гандлёвая платформа для стейблкоинов, якая падтрымліваецца Polychain Capital і True Ventures, мае пацверджаны што ён быў узламаны на 7.5 мільёна долараў.
Гандлёвая платформа паведаміла, што эксплойт пачаўся каля 7:21 UTC у чацвер і што яна атрымала паведамленне пра эксплойты прыкладна праз 20-30 хвілін пасля пачатку першай транзакцыі.
DFX Finance заявіла, што заняла актыўную пазіцыю, каб спыніць працу сваіх смарт-кантрактаў, каб стрымаць атаку. Па прычыне свайго ўмяшання, узламаны пратакол сказаў, што зламыснік не змог перамясціць усе скрадзеныя сродкі, паколькі бот MEV перахапіў ажно 3.2 мільёна долараў сродкаў.
Аднак хакер уцёк з некаторымі сродкамі, якія былі адпраўлены ў Tornado Cash, службу крыпта-міксавання, якая была санкцыянаваная Міністэрствам фінансаў ЗША. Зламыснік DFX Finance змог завалодаць сродкамі з-за ўразлівасці ў пратаколе флэш-пазыкі.
Як падрабязна апісалі даследчыкі BlockSec, зламыснік пазычыў сродкі ў DFX Finance на блокчейне Ethereum і неадкладна вярнуў сродкі назад з дапамогай «небяспечнай функцыі зваротнага выкліку». Гэта прымусіла пратакол падумаць, што сродкі былі выплачаны, хаця насамрэч гэтага не было.
«Калі карыстальнік пазычае грошы, пратакол не павінен дазваляць ніякіх выклікаў функцый, якія могуць змяніць баланс пратаколу DFX», — сказаў The Block генеральны дырэктар BlockSec Яджын Чжоу.
Зламысніку ўдалося вывезці 2,963 ETH (коштам каля 3.8 мільёна долараў) і каля 500,000 XNUMX долараў. DFX Finance заявіла, што гэта не паўплывала на іх пул Polygon, аднак, як сказана ў пратаколе, пасля адкрыцця зняцця сродкаў усе павінны паспрабаваць скарыстацца надбаўкай, каб атрымаць свае сродкі.
У які раз з'явіўся пратакол DeFi быў зноў узламаны, падкрэсліваючы заклік да асцярожнасці сярод інвестараў і належных палажэнняў бяспекі па ўсіх напрамках.
Крыніца выявы: Shutterstock
Крыніца: https://blockchain.news/news/defi-platform-dfx-finance-says-it-has-been-hacked-for-$7.5m