DFX Finance, protokol pertukaran terdesentralisasi untuk stablecoin berpatok fiat, melaporkan bahawa ia telah diserang pada 2:21 petang ET. Penyerang yang tidak dikenali telah menyedut kira-kira $7.5 juta daripada DFX, menurut anggaran daripada penyelidik keselamatan di BlockSec.
Pasukan Kewangan DFX mengakui eksploitasi keselamatan dan berkata ia telah menjeda semua kontrak pintarnya untuk membendung isu tersebut. "Kami telah dimaklumkan mengenai aktiviti yang mencurigakan dalam masa 20-30 minit dari transaksi pertama dan melaksanakan jeda pada semua kontrak DFX dalam masa beberapa minit selepas mengesahkan serangan itu," ia berkata.
Insiden itu nampaknya merupakan serangan dibolehkan pinjaman kilat yang membenarkan penggodam membuat pengeluaran berniat jahat daripada DFX. Daripada $7.5 juta dalam aset yang dicuri, penyerang hanya boleh memindahkan aset bernilai $4.3 juta ke dalam dompet mereka — termasuk 2963 eter ($3.8 juta) dan beberapa $500,000 dalam stablecoin.
Bahagian baki aset yang dicuri — kira-kira $ 3.2 juta - telah diekstrak oleh bot MEV dalam urus niaga hadapan, juga dipanggil serangan sandwic. Dana yang diekstrak bot duduk dalam alamat dikawal oleh pengendali bot dan boleh dipulihkan jika pengendali bersedia. DFX Finance mempunyai sudah Ditanya pengendali untuk mengembalikannya.
Vektor serangan
Penyerang mengambil kesempatan daripada mekanisme pinjaman kilat yang tidak selamat yang ditawarkan oleh DFX Finance pada blockchain Ethereum. Pinjaman kilat ialah ciri di mana sejumlah besar mata wang kripto boleh dipinjam tanpa cagaran, hanya jika dana tersebut dikembalikan dalam transaksi yang sama.
Semasa serangan, penyerang meminjam stablecoin dalam DFX Finance dan kemudian mendepositkannya semula ke dalam kumpulan kecairan DFX dengan "fungsi panggil balik tidak selamat" yang memintas cek pinjaman kilatnya. Selepas pinjaman kilat, penyerang masih memiliki token kumpulan kecairan dalam milikan, yang mereka jual.
Serangan itu telah menghabiskan token kumpulan kecairan DFX melalui beberapa pinjaman kilat untuk mengawal lebih $7.5 juta. Penganalisis keselamatan di BlockSec berkata deposit kumpulan kecairan tidak sepatutnya dibenarkan, kerana ia menipu protokol untuk mempercayai dana telah dikembalikan dan selamat.
"Apabila pengguna meminjam wang, protokol tidak seharusnya membenarkan sebarang panggilan fungsi yang boleh mengubah baki protokol DFX," kata Ketua Pegawai Eksekutif BlockSec Yajin Zhou kepada The Block.
Walaupun pinjaman kilat bertujuan untuk perdagangan arbitraj dan meningkatkan kecekapan modal, penggodam kerap menyalahgunakannya untuk mengeksploitasi kelemahan tertentu.
Tahun lepas, DFX Finance dibangkitkan pusingan benih bernilai $5 juta yang diketuai oleh Polychain Capital dan True Ventures.
© 2022 The Block Crypto, Inc. Hak Cipta Terpelihara. Artikel ini disediakan untuk tujuan maklumat sahaja. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, pelaburan, kewangan, atau lain-lain.
Sumber: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss