DFX Finance, platform dagangan stablecoin yang disokong oleh Polychain Capital dan True Ventures telah disahkan bahawa ia telah digodam untuk $7.5 juta.
Platform dagangan berkata eksploitasi bermula sekitar 7:21 PM UTC pada hari Khamis dan ia dimaklumkan tentang eksploitasi itu kira-kira 20 – 30 minit selepas transaksi pertama dimulakan.
DFX Finance berkata ia mengambil sikap proaktif untuk menghentikan operasi kontrak pintarnya bagi membendung serangan itu. Atas sebab campur tangannya, protokol yang digodam itu berkata penyerang tidak dapat mengalihkan semua dana yang dicuri kerana bot MEV memintas sebanyak $3.2 juta dana.
Bagaimanapun, penggodam itu telah menggunakan beberapa dana yang dihantar kepada Tornado Cash, perkhidmatan pencampuran kripto yang telah dibenarkan oleh Jabatan Perbendaharaan Amerika Syarikat. Penyerang DFX Finance boleh mendapatkan dana berdasarkan kerentanan dalam protokol pinjaman kilatnya.
Seperti yang diperincikan oleh penyelidik BlockSec, penyerang meminjam dana daripada DFX Finance pada blockchain Ethereum dan segera mendepositkan kembali dana itu menggunakan "fungsi panggilan balik yang tidak selamat." Ini menipu protokol untuk menganggap dana telah dibayar sedangkan sebenarnya mereka tidak membayar.
"Apabila pengguna meminjam wang, protokol tidak seharusnya membenarkan sebarang panggilan fungsi yang boleh mengubah baki protokol DFX," kata Ketua Pegawai Eksekutif BlockSec Yajin Zhou kepada The Block.
Penyerang berjaya membawa pulang 2,963 ETH (bernilai kira-kira $3.8 juta) dan kira-kira $500,000. DFX Finance berkata kumpulan Polygonnya tidak terjejas, bagaimanapun, protokol itu berkata sebaik sahaja ia membuka pengeluaran, semua harus cuba mengambil kesempatan daripada elaun untuk mengeluarkan dana mereka.
Untuk kesekian kalinya, protokol DeFi mempunyai telah digodam lagi, menekankan seruan untuk berhati-hati di kalangan pelabur dan peruntukan keselamatan yang sewajarnya di seluruh lembaga.
Sumber gambar: Shutterstock
Sumber: https://blockchain.news/news/defi-platform-dfx-finance-says-it-has-been-hacked-for-$7.5m