Protokol DeFi dForce trpí reentrancy útokem, ztráta 3.6 milionu dolarů

Protokol DeFi dForce utrpěl ztrátu přes 3.6 milionu dolarů, které se hackerovi podařilo vysát díky reentrancy útoku provedenému na řetězcích Arbitrum a Optimism. 

Útok byl způsoben zranitelností ve funkci inteligentní smlouvy, která uživatelům umožňovala vypočítat ceny oracle při připojení ke Curve Finance. 

Ztraceno přes 3.6 miliony dolarů 

Hackerovi se podařilo získat kryptoměnu v hodnotě 3.6 milionu dolarů prostřednictvím reentrancy útoku na protokol dForce DeFi. Hackerovi se podařilo zaměřit trezor protokolu na Curve Finance, platformu automatizovaného tvůrce trhu (AMM) fungující na blockchainech Arbitrum a Optimism. Hack byl odhalen uživatelem Twitteru @ZoomerAnon, který tweetoval, že dForce ztratila kolem 1.7 milionu $ díky sérii flashových půjček provedených na Optimism Chain. Blockchain bezpečnostní firma PeckShield potvrdila útok a vyčíslila škody na přibližně 2300 ETH v hodnotě kolem 3.65 milionu dolarů.

DeForce také potvrdila útok na svém oficiálním Twitteru a dodala, že pozastavila všechny trezory, aby nedošlo k dalšímu poškození. 

„Dne 10. února byly využity naše wstETH/ETH Curve vaulty na Arbitrum & Optimism a okamžitě jsme pozastavili všechny vaulty. Chyba zabezpečení je identifikována a zneužití bylo specifické pro trezor wstETH/ETH-Curve společnosti dForce. Finanční prostředky uživatelů poskytnuté dForce Lending a dalším trezorům jsou BEZPEČNÉ.“

Podrobnosti o útoku 

Podle dostupných podrobností o útoku byl hacker schopen zneužít zranitelnost reentrancy, která byla přítomna ve funkci inteligentní smlouvy používané společností dForce k získání cen oracle z Arbitrum and Optimism. K reentrancy útokům dochází, když je hacker schopen zneužít chybu v chytré smlouvě, což mu umožňuje opakovaně vybírat finanční prostředky a převádět je na neautorizovaný kontrakt. Je známo, že k těmto útokům dochází na protokolech, které jsou propojeny s Curve Finance. 

Blockchainová bezpečnostní firma PeckShield vysvětlila, že v případě tohoto útoku byl hacker schopen manipulovat s cenou zabaleného vsazeného ETH v trezoru Curve (wstETHCRV-gauge) a zlikvidovat několik pozic flashových půjček. Prostředky zatím stále leží na hackerově účtu. Společnost DeForce pozastavila všechny smlouvy, aby zabránila dalším ztrátám protokolu, a zdůraznila, že prostředky zákazníků zůstávají v bezpečí. DeForce také uvedl, že útočník vytvořil protokolární dluh ve výši 2.3 milionu dolarů a také dodal, že útočníkovi nabídne odměnu, pokud budou prostředky vráceny. 

„Navázali jsme spolupráci s bezpečnostní firmou @SlowMist_team a našimi ekosystémovými partnery, abychom tuto záležitost dále prošetřili, a rádi bychom vykořisťovateli nabídli odměnu, pokud budou prostředky vráceny. Zůstaňte naladěni na další aktualizace.“

Je DeFi měkký cíl? 

K poslednímu útoku na dForce došlo dva roky poté, co protokol ztratil 25 milionů dolarů při velkém útoku na protokol. Útočník však téměř všechny ukradené prostředky vrátil. Zatímco při nejnovějším útoku bylo ukradeno podstatně menší množství, je to nejnovější z dlouhé řady Útoky zaměřené na ekosystém DeFi, který je jedním z nejrychleji rostoucích ekosystémů v kryptoměnách. Podle zprávy zveřejněné TRM Labs bylo v roce 3.7 kvůli kryptografickým hackům ztraceno více než 2022 miliardy dolarů, z toho více než 80 % z exploitů DeFi. 

Záplava hacků a ohlášené obrovské ztráty zjevně přitáhly pozornost regulačních orgánů, mezi které patří i Evropská unie. Regulátoři se zavázali pracovat na zavedení nových změn politik, které pomohou zlepšit dohled nad DeFi ze strany regulačních orgánů. 

Zřeknutí se odpovědnosti: Tento článek je poskytován pouze pro informační účely. Není nabízeno ani zamýšleno k použití jako právní, daňové, investiční, finanční nebo jiné poradenství.