DFX Finance, фиатқа бекітілген стабелькоиндер үшін орталықтандырылмаған айырбастау хаттамасы оған ET 2:21-де шабуыл жасалғанын хабарлады. BlockSec қауіпсіздік зерттеушілерінің бағалауы бойынша белгісіз шабуылдаушы DFX-тен шамамен 7.5 миллион доллар алды.
DFX Finance командасы қауіпсіздіктің бұзылуын мойындады және мәселені шешу үшін өзінің барлық смарт келісім-шарттарын уақытша тоқтатқанын айтты. «Бірінші транзакциядан кейін 20-30 минут ішінде бізге күдікті әрекет туралы хабарланды және шабуылды растағаннан кейін бірнеше минут ішінде барлық DFX келісімшарттарында үзіліс жасадық», - деді ол. айтты.
Оқиға хакерге DFX-тен зиянды шығаруға мүмкіндік беретін флэш-несие қосылған шабуыл сияқты. Ұрланған активтердің 7.5 миллион долларының ішінде шабуылдаушы өз әмиянына 4.3 миллион долларлық активтерді ғана аудара алды, соның ішінде 2963 эфир ($3.8 млн) және кейбіреулері $500,000 стабилкоиндер.
Ұрланған активтердің қалған бөлігі - шамамен $ 3.2 млн - сэндвич шабуылы деп те аталатын алдыңғы транзакцияда MEV боты арқылы шығарылды. Боттан алынған қаражат бірде отырады мекен-жай бот операторы басқарады және оператор қаласа қалпына келтіруге болады. DFX Finance бар қазірдің өзінде сұрады оларды қайтару үшін оператор.
Шабуыл векторы
Шабуылшы Ethereum блокчейнінде DFX Finance ұсынатын қауіпті несие беру механизмін пайдаланды. Флэш-несие - бұл криптовалютаның үлкен көлемін кепілсіз қарызға алуға болатын мүмкіндік, тек сол қаражат бір транзакцияда қайтарылған жағдайда ғана.
Шабуыл кезінде шабуылдаушы DFX Finance ішінен стабилкоиндарды қарызға алды, содан кейін оларды несиелік тексерулерді айналып өтетін «қауіпсіз кері шақыру функциясы» бар DFX өтімділік пулдарына қайта салды. Флэш-несиеден кейін шабуылдаушы әлі де өтімділік пулының таңбалауыштарын иемденді, олар сатылды.
Шабуыл DFX өтімділік пулының таңбалауыштарын 7.5 миллион доллардан астам қаражатты бақылауға алу үшін бірнеше флэш-несие арқылы жойды. BlockSec қауіпсіздік сарапшылары өтімділік пулының депозиттеріне жол бермеу керек деп санайды, өйткені ол хаттаманы қаражат қайтарылды және қауіпсіз деп сендірді.
«Пайдаланушы ақшаны қарызға алған кезде, протокол DFX протоколының балансын өзгерте алатын кез келген функцияны шақыруға рұқсат бермеуі керек», - деді BlockSec бас директоры Яджин Чжоу The Block-қа.
Флэш несиелер арбитраждық саудаға және капиталдың тиімділігін арттыруға арналған болса да, хакерлер белгілі бір осалдықтарды пайдалану үшін оларды үнемі теріс пайдаланады.
Өткен жылы DFX Finance көтерілді Polychain Capital және True Ventures басқаратын 5 миллион долларлық тұқым раунды.
© 2022 Block Crypto, Inc. Барлық құқықтар қорғалған. Бұл мақала тек ақпараттық мақсатта берілген. Ол заңдық, салықтық, инвестициялық, қаржылық немесе басқа кеңестер ретінде ұсынылмайды немесе пайдалануға арналмаған.
Дереккөз: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss