DeFi протоколы dForce 3.6 миллион доллардан астам шығынға ұшырады, оны хакер Arbitrum және Optimism тізбектерінде орындалған қайта кіру шабуылының арқасында өшіре алды.
Шабуыл Curve Finance қызметіне қосылған кезде пайдаланушыларға oracle бағаларын есептеуге мүмкіндік беретін смарт келісімшарт функциясындағы осалдыққа байланысты болды.
3.6 миллион доллардан астам шығын
Хакер dForce DeFi протоколына қайта кіру шабуылы арқылы 3.6 миллион долларлық криптовалютаны жұлып алды. Хакер Arbitrum және Optimizm блокчейндерінде жұмыс істейтін автоматтандырылған маркет-мейкер (AMM) платформасы Curve Finance хаттамасының қоймасын нысанаға алды. Бұзушылықты Twitter пайдаланушысы @ZoomerAnon ашты, ол Twitter-де dForce оптимизм тізбегінде орындалған жедел несие транзакциялары арқылы шамамен 1.7 миллион доллар жоғалтты деп жазды. Blockchain қауіпсіздік фирмасы PeckShield шабуылды растады және шығынды шамамен 2300 ETH құрады, шамамен $3.65 млн.
Сондай-ақ DeForce өзінің ресми Twitter тұтқасында шабуылды растап, қосымша зақым келтірмеу үшін барлық қоймаларды уақытша тоқтатқанын айтты.
«10 ақпанда Arbitrum & Optimism жүйесіндегі wstETH/ETH Curve қоймалары пайдаланылды және біз барлық қоймаларды дереу тоқтаттық. Осалдық анықталды және эксплойт dForce wstETH/ETH-Curve қоймасына тән болды. Пайдаланушылардың dForce Lending-ке берілген қаражаты және басқа қоймалар ҚАУІПСІЗ.”
Шабуыл туралы мәліметтер
Шабуыл туралы қолда бар мәліметтерге сәйкес, хакер Arbitrum және Optimism-тен oracle бағасын алу үшін dForce пайдаланатын смарт келісім-шарт функциясында бар қайта кіру осалдығын пайдалана алды. Қайта кіру шабуылдары хакер ақылды келісім-шарттағы қатені пайдалана алған кезде пайда болады, бұл оларға қаражатты қайта-қайта алуға, оларды рұқсат етілмеген келісімшартқа аударуға мүмкіндік береді. Бұл шабуылдар Curve Finance қызметімен байланысты хаттамаларда орын алатыны белгілі.
Blockchain қауіпсіздік фирмасы PeckShield түсіндірді, бұл шабуыл болған жағдайда, хакер Curve қоймасында (wstETHCRV-gauge) оралған ETH бағасын басқара алды және бірнеше несиелік позицияларды жойды. Әзірге қаражат әлі де хакердің шотында жатыр. DeForce хаттамаға қосымша шығындарды болдырмау үшін барлық келісім-шарттарды тоқтатты және тұтынушы қаражаты қауіпсіз болып қала беретінін атап өтті. DeForce сонымен қатар шабуылдаушы 2.3 миллион долларлық хаттамалық қарыз жасағанын айтты және егер қаражат қайтарылса, шабуылдаушыға сыйақы ұсынатынын айтты.
«Біз @SlowMist_team қауіпсіздік фирмасымен және экожүйе бойынша серіктестермен мәселені әрі қарай зерттеу үшін жұмыс жасадық және егер қаражат қайтарылса, қанаушыға сый ұсынғымыз келеді. Қосымша жаңартулар үшін хабардар болыңыз. ”
DeFi жұмсақ мақсат па?
dForce-ке жасалған соңғы шабуыл хаттамаға жасалған үлкен шабуылда протокол 25 миллион доллар жоғалтқаннан кейін екі жылдан кейін орын алды. Алайда шабуылдаушы ұрланған қаражаттың барлығын дерлік қайтарып берді. Ең соңғы шабуыл ұрланған сома айтарлықтай аз болғанымен, бұл ұзақ жолдың соңғысы шабуылдар криптодағы ең жылдам дамып келе жатқан экожүйелердің бірі болып табылатын DeFi экожүйесіне бағытталған. TRM Labs жариялаған есеп бойынша, 3.7 жылы криптографиялық бұзылулар салдарынан 2022 миллиард доллардан астам шығын жоғалған, оның 80%-дан астамы DeFi эксплойттарынан.
Бұзылулар мен орасан зор шығындар Еуропалық Одақ кіретін реттеушілердің назарын аударғаны анық. Реттеушілер реттеуші органдардың DeFi бақылауын жақсартуға көмектесу үшін жаңа саясат өзгерістерін енгізу бойынша жұмыс істеуге уәде берді.
Жауапкершіліктен бас тарту: Бұл мақала тек ақпараттық мақсатта ұсынылған. Ол заңдық, салықтық, инвестициялық, қаржылық немесе басқа кеңестер ретінде ұсынылмайды немесе пайдалануға арналмаған.
Дереккөз: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost