Пратакол дэцэнтралізаванага фінансавання (DeFi) dForce падвергся атацы ўразлівасці паўторнага ўваходу, якая прывяла да страты крыпта-актываў на суму 3.6 мільёна долараў.
Зламыснік нацэліўся на сховішча пратаколу на платформе аўтаматызаванага маркет-мэйкера (AMM) Curve Finance, якая працуе на блокчейнах Arbitrum і Optimism.
dForce Exploited за 3.65 мільёна долараў
Упершыню аб узломе адзначыў карыстальнік Twitter @ZoomerAnon які абвясціў, што dForce страціла каля 1.7 мільёна долараў у серыі транзакцый па крэдытах у ланцужку Optimism. Напад быў пазней пацверджаны фірмай па бяспецы блокчейна PeckShield, якая акругліла агульныя страты да 2,300 токенаў ETH (3.65 мільёна долараў).
Хакер выкарыстаў уразлівасць паўторнага ўваходу, прысутную ў функцыі смарт-кантракту, якую dForce выкарыстоўвае для атрымання цэн аракула на Arbitrum і Optimism пры падключэнні да Curve.
Атака паўторнага ўваходу адбываецца, калі дрэнны ўдзельнік выкарыстоўвае памылку ў смарт-кантракце і неаднаразова здымае сродкі, пераведзеныя на несанкцыянаваны кантракт. Вядома, што такія атакі адбываюцца на пратаколы, звязаныя з Curve, у той час як AMM застаецца некранутым.
PeckShield далей растлумачыў, што злачынец маніпуляваў цаной загорнутага стаўкі ETH у сховішчы Curve (wstETHCRV-вымяральны паказчык) і змог ліквідаваць некалькі пазіцый флэш-пазыкі, выкарыстоўваючы wstETHCRV-вымяральны паказчык у якасці закладу.
Першапачатковая сума, 0.99 ETH, была выведзена з сістэмы DeFi RAILGUN Project і перададзена праз Synapse Network у Arbitrum і Optimism. На момант прэсы сродкі ўсё яшчэ знаходзіліся на рахунку эксплуататара.
dForce прапануе ўзнагароду нападніку
dForce пацвердзіў, што атака, якая характэрна толькі для яго сховішча wstETH/ETH-Curve, была спынена, і ўсе сховішчы прыпыненыя. Пратакол запэўніваў карыстальнікаў, што сродкі, якія пастаўляюцца ў іншыя сховішчы, у тым ліку крэдытныя, знаходзяцца ў бяспецы.
Платформа таксама раскрыты што эксплуататар стварыў запазычанасць па пратаколе ў памеры 2.3 мільёна долараў пасля ліквідацыі 1,031.42 і wstETH/ETH на Arbitrum і Optimum адпаведна.
«Мы звязаліся з ахоўнай фірмай @SlowMist_team і нашымі партнёрамі па экасістэме для далейшага расследавання гэтага пытання і хацелі б прапанаваць узнагароду эксплуататару ў выпадку вяртання сродкаў. Сачыце за далейшымі абнаўленнямі», — сказаў dForce.
Binance бясплатна $100 (эксклюзіў): Выкарыстоўвайце гэтую спасылку каб зарэгістравацца і атрымаць $100 бясплатна і 10% зніжкі на Binance Futures у першы месяц (ўмовы).
Спецыяльная прапанова PrimeXBT: Выкарыстоўвайце гэтую спасылку зарэгістравацца і ўвесці код POTATO50, каб атрымаць да $7,000 на вашыя дэпазіты.
Крыніца: https://cryptopotato.com/defi-protocol-dforce-loses-3-6m-in-reentrancy-attack/