DFX Finance, një protokoll i decentralizuar shkëmbimi për monedhat stabile të lidhura me fiat, raportoi se ishte sulmuar në orën 2:21 pasdite ET. Një sulmues i panjohur mori rreth 7.5 milionë dollarë nga DFX, sipas vlerësimeve nga studiuesit e sigurisë në BlockSec.
Ekipi i DFX Finance e pranoi shfrytëzimin e sigurisë dhe tha se i ka ndërprerë të gjitha kontratat e tij inteligjente për të përmirësuar problemin. “Ne u njoftuam për aktivitetin e dyshimtë brenda 20-30 minutave nga transaksioni i parë dhe ekzekutuam një pauzë në të gjitha kontratat DFX brenda pak minutash pas konfirmimit të sulmit. tha.
Incidenti duket të jetë një sulm i mundësuar nga kredia flash që lejoi hakerin të bëjë një tërheqje me qëllim të keq nga DFX. Nga 7.5 milionë dollarë në asetet e vjedhura, sulmuesi mund të transferonte vetëm 4.3 milionë dollarë pasuri në portofolin e tyre – duke përfshirë 2963 eter (3.8 milionë dollarë) dhe disa $500,000 në monedha të qëndrueshme.
Pjesa e mbetur e pasurive të vjedhura - rreth $ 3.2 milion - u nxor nga një bot MEV në një transaksion të përparuar, i quajtur gjithashtu një sulm sanduiç. Fondet e nxjerra nga bot qëndrojnë në një adresë kontrollohet nga operatori bot dhe mund të rikuperohet nëse operatori dëshiron. DFX Finance ka tashmë pyeti operatori t'i kthejë ato.
Vektori i sulmit
Sulmuesi ka përfituar nga një mekanizëm i pasigurt i huasë së shpejtë të ofruar nga DFX Finance në blockchain Ethereum. Një kredi flash është një veçori në të cilën një sasi e madhe kriptomonedhe mund të huazohet pa kolateral, vetëm nëse ato fonde kthehen në të njëjtin transaksion.
Gjatë sulmit, sulmuesi huazoi stabilcoins brenda DFX Finance dhe më pas i depozitoi ato në grupet e likuiditetit të DFX me një "funksion të pasigurt kthimi të thirrjes" që anashkalonte kontrollet e tij të huasë. Pas huasë së shpejtë, sulmuesi kishte ende në posedim argumentet e likuiditetit, të cilat i shitën.
Sulmi mbaroi argumentet e grupit të likuiditetit të DFX përmes kredive të shumta flash për të marrë kontrollin e mbi 7.5 milionë dollarëve. Analistët e sigurisë në BlockSec thonë se depozitat e grupit të likuiditetit nuk duhet të ishin lejuar, pasi ajo mashtroi protokollin për të besuar se fondet ishin kthyer dhe ishin të sigurta.
"Kur një përdorues merr hua para, protokolli nuk duhet të lejojë asnjë thirrje funksioni që mund të ndryshojë balancën e protokollit DFX," tha CEO i BlockSec Yajin Zhou për The Block.
Ndërsa kreditë e shpejta janë të destinuara për tregtimin e arbitrazhit dhe përmirësimin e efikasitetit të kapitalit, hakerët i kanë abuzuar rregullisht me to për të shfrytëzuar dobësi të caktuara.
Vitin e kaluar, DFX Finance ngritur një raund fillestar prej 5 milionë dollarësh i udhëhequr nga Polychain Capital dhe True Ventures.
© 2022 Blloku Crypto, Inc. Të gjitha të drejtat e rezervuara. Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose nuk synohet të përdoret si këshillë ligjore, tatimore, investimesh, financiare ose këshillë tjetër.
Burimi: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss