Το DFX Finance, ένα αποκεντρωμένο πρωτόκολλο ανταλλαγής για σταθερά νομίσματα συνδεδεμένα με fiat, ανέφερε ότι δέχθηκε επίθεση στις 2:21 μ.μ. ET. Ένας άγνωστος εισβολέας πήρε περίπου 7.5 εκατομμύρια δολάρια από το DFX, σύμφωνα με εκτιμήσεις από ερευνητές ασφαλείας στο BlockSec.
Η ομάδα του DFX Finance αναγνώρισε την εκμετάλλευση ασφαλείας και είπε ότι έχει διακόψει όλα τα έξυπνα συμβόλαιά της για να περιορίσει το ζήτημα. «Ειδοποιηθήκαμε για την ύποπτη δραστηριότητα εντός 20-30 λεπτών από την πρώτη συναλλαγή και κάναμε μια παύση σε όλα τα συμβόλαια DFX μέσα σε λίγα λεπτά μετά την επιβεβαίωση της επίθεσης», είπε.
Το περιστατικό φαίνεται να είναι μια επίθεση με δυνατότητα flash-loan που επέτρεψε στον χάκερ να κάνει μια κακόβουλη απόσυρση από το DFX. Από τα 7.5 εκατομμύρια δολάρια σε κλεμμένα περιουσιακά στοιχεία, ο εισβολέας μπορούσε να μεταφέρει μόνο περιουσιακά στοιχεία αξίας 4.3 εκατομμυρίων δολαρίων στο πορτοφόλι του — συμπεριλαμβανομένων 2963 αιθέρας (3.8 εκατομμύρια δολάρια) και μερικά $500,000 σε σταθερά νομίσματα.
Το υπόλοιπο μέρος των κλεμμένων περιουσιακών στοιχείων — περίπου $ 3.2 εκατομμύρια - εξήχθη από ένα bot MEV σε μια προκαταρκτική συναλλαγή, που ονομάζεται επίσης επίθεση σάντουιτς. Τα κεφάλαια που εξάγονται από bot βρίσκονται σε ένα διεύθυνση ελέγχεται από τον χειριστή του bot και μπορεί να ανακτηθεί εάν ο χειριστής είναι πρόθυμος. Η DFX Finance έχει ήδη ρώτησε ο χειριστής να τα επιστρέψει.
Το διάνυσμα επίθεσης
Ο εισβολέας εκμεταλλεύτηκε έναν ανασφαλή μηχανισμό φλας δανείου που προσφέρεται από την DFX Finance στο blockchain Ethereum. Ένα στιγμιαίο δάνειο είναι ένα χαρακτηριστικό στο οποίο μπορεί να δανειστεί μεγάλο ποσό κρυπτονομισμάτων χωρίς εξασφαλίσεις, μόνο εάν αυτά τα κεφάλαια επιστραφούν στην ίδια συναλλαγή.
Κατά τη διάρκεια της επίθεσης, ο εισβολέας δανείστηκε stablecoins μέσα στην DFX Finance και στη συνέχεια τα κατέθεσε πίσω στις δεξαμενές ρευστότητας του DFX με μια «ανασφαλή λειτουργία επανάκλησης» που παρέκαμψε τους ελέγχους του φλας δανείου. Μετά το στιγμιαίο δάνειο, ο εισβολέας είχε ακόμη στην κατοχή του μάρκες συγκέντρωσης ρευστότητας, τα οποία πούλησε.
Η επίθεση εξάντλησε τα διακριτικά της ομάδας ρευστότητας της DFX μέσω πολλαπλών δανείων flash για να πάρει τον έλεγχο άνω των 7.5 εκατομμυρίων δολαρίων. Οι αναλυτές ασφαλείας της BlockSec λένε ότι δεν θα έπρεπε να επιτραπούν οι καταθέσεις ρευστότητας, καθώς εξαπάτησε το πρωτόκολλο ώστε να πιστέψει ότι τα κεφάλαια έχουν επιστραφεί και είναι ασφαλή.
«Όταν ένας χρήστης δανείζεται χρήματα, το πρωτόκολλο δεν θα πρέπει να επιτρέπει κλήσεις λειτουργίας που μπορούν να αλλάξουν την ισορροπία του πρωτοκόλλου DFX», δήλωσε στο The Block ο Διευθύνων Σύμβουλος της BlockSec Yajin Zhou.
Ενώ τα δάνεια flash προορίζονται για διαπραγμάτευση αρμπιτράζ και βελτίωση της αποδοτικότητας του κεφαλαίου, οι χάκερ τα έχουν τακτικά κατάχρηση για να εκμεταλλευτούν ορισμένα τρωτά σημεία.
Πέρυσι, DFX Finance εγείρει ένας γύρος 5 εκατομμυρίων δολαρίων με επικεφαλής την Polychain Capital και την True Ventures.
© 2022 The Block Crypto, Inc. Με επιφύλαξη παντός δικαιώματος. Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.
Πηγή: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss