DFX Finance, decentralizovaný výměnný protokol pro stabilní coiny fixované na fiat, oznámil, že byl napaden ve 2:21 ET. Neznámý útočník si podle odhadů bezpečnostních výzkumníků z BlockSec vybral z DFX přibližně 7.5 milionu dolarů.
Tým DFX Finance potvrdil zneužití zabezpečení a uvedl, že pozastavil všechny své chytré smlouvy, aby problém odstranil. „Byli jsme upozorněni na podezřelou aktivitu během 20–30 minut od první transakce a během několika minut po potvrzení útoku jsme provedli pozastavení všech DFX kontraktů,“ uvedl. řekl.
Incident se zdá být útokem s povolenou flashovou půjčkou, který umožnil hackerovi provést zlomyslné stažení z DFX. Z ukradených aktiv ve výši 7.5 milionu dolarů mohl útočník do své peněženky převést pouze majetek v hodnotě 4.3 milionu dolarů – včetně 2963 éter (3.8 milionu dolarů) a některé $500,000 ve stablecoinech.
Zbývající část ukradeného majetku — asi 3.2 milionu $ - byl extrahován robotem MEV v transakci probíhající vpředu, nazývané také sendvičový útok. Prostředky vytěžené botem leží v adresa řízeno operátorem bota a může být obnoveno, pokud je operátor ochoten. DFX Finance má již zeptal se operátora, aby je vrátil.
Vektor útoku
Útočník využil nezabezpečený mechanismus flash-půjček nabízený společností DFX Finance na blockchainu Ethereum. Blesková půjčka je funkce, ve které si lze půjčit velké množství kryptoměny bez zajištění, pouze pokud jsou tyto prostředky vráceny ve stejné transakci.
Během útoku si útočník vypůjčil stablecoiny v rámci DFX Finance a poté je vložil zpět do fondů likvidity DFX pomocí „funkce nezabezpečeného zpětného volání“, která obcházela její kontroly flashových půjček. Po flash půjčce měl útočník stále v držení tokeny fondu likvidity, které prodal.
Útok odčerpal tokeny likvidity společnosti DFX prostřednictvím několika bleskových půjček, aby převzal kontrolu nad více než 7.5 miliony dolarů. Bezpečnostní analytici společnosti BlockSec tvrdí, že vklady do fondu likvidity neměly být povoleny, protože to oklamalo protokol, aby věřil, že prostředky byly vráceny a že jsou bezpečné.
„Když si uživatel půjčí peníze, protokol by neměl umožňovat volání funkcí, které mohou změnit rovnováhu protokolu DFX,“ řekl The Block CEO BlockSec Yajin Zhou.
Zatímco bleskové půjčky jsou určeny pro arbitrážní obchodování a zlepšení kapitálové efektivity, hackeři je pravidelně zneužívají k využívání určitých zranitelností.
V loňském roce DFX Finance zvedl počáteční kolo 5 milionů dolarů vedené společnostmi Polychain Capital a True Ventures.
© 2022 The Block Crypto, Inc. Všechna práva vyhrazena. Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.
Zdroj: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss