Ang DFX Finance, isang desentralisadong exchange protocol para sa fiat-pegged stablecoins, ay nag-ulat na ito ay inatake noong 2:21 pm ET. Isang hindi kilalang attacker ang humigop ng humigit-kumulang $7.5 milyon mula sa DFX, ayon sa mga pagtatantya mula sa mga security researcher sa BlockSec.
Kinilala ng koponan ng DFX Finance ang pagsasamantala sa seguridad at sinabing na-pause nito ang lahat ng matalinong kontrata nito upang malagay ang isyu. "Naabisuhan kami tungkol sa kahina-hinalang aktibidad sa loob ng 20-30 minuto ng unang transaksyon at nagsagawa ng pause sa lahat ng kontrata ng DFX sa loob ng ilang minuto pagkatapos makumpirma ang pag-atake," ito sinabi.
Ang insidente ay lumilitaw na isang flash-loan-enabled na pag-atake na nagpapahintulot sa hacker na gumawa ng malisyosong pag-withdraw mula sa DFX. Sa $7.5 milyon sa mga ninakaw na asset, maaari lamang ilipat ng umaatake ang $4.3 milyon na halaga ng mga asset sa kanilang wallet — kasama ang 2963 eter ($3.8 milyon) at ilan $500,000 sa mga stablecoin.
Ang natitirang bahagi ng mga ninakaw na ari-arian — tungkol sa $ 3.2 Milyon - ay na-extract ng isang MEV bot sa isang front-running na transaksyon, na tinatawag ding sandwich attack. Ang bot-extracted na pondo ay nakaupo sa isang tirahan kinokontrol ng operator ng bot at maaaring mabawi kung gusto ng operator. Ang DFX Finance ay mayroon na tinanong ang operator na ibalik ang mga ito.
Ang vector ng pag-atake
Sinamantala ng attacker ang isang insecure na mekanismo ng flash-loan na inaalok ng DFX Finance sa Ethereum blockchain. Ang flash loan ay isang feature kung saan ang isang malaking halaga ng cryptocurrency ay maaaring hiramin nang walang collateral, kung ibabalik lamang ang mga pondong iyon sa parehong transaksyon.
Sa panahon ng pag-atake, humiram ang attacker ng mga stablecoin sa loob ng DFX Finance at pagkatapos ay idineposito ang mga ito pabalik sa mga liquidity pool ng DFX na may "hindi secure na callback function" na lumampas sa mga tseke ng flash-loan nito. Pagkatapos ng flash loan, may hawak pa ring mga token ng liquidity pool ang attacker, na ibinenta nila.
Inubos ng pag-atake ang mga token ng liquidity pool ng DFX sa pamamagitan ng maraming flash loan upang kontrolin ang mahigit $7.5 milyon. Sinabi ng mga security analyst sa BlockSec na hindi dapat pinayagan ang mga deposito sa liquidity-pool, dahil nilinlang nito ang protocol sa paniniwalang naibalik ang mga pondo at ligtas.
"Kapag ang isang gumagamit ay humiram ng pera, ang protocol ay hindi dapat payagan ang anumang mga function na tawag na maaaring baguhin ang balanse ng DFX protocol," sinabi ng BlockSec CEO Yajin Zhou sa The Block.
Habang ang mga flash loans ay para sa arbitrage trading at pagpapabuti ng capital efficiency, ang mga hacker ay regular na inaabuso ang mga ito upang pagsamantalahan ang ilang mga kahinaan.
Noong nakaraang taon, ang DFX Finance elebado isang $5 milyong seed round na pinangunahan ng Polychain Capital at True Ventures.
© 2022 Ang Block Crypto, Inc. Lahat ng Karapatan ay Nakareserba. Ang artikulong ito ay ibinigay para sa mga layuning pang-impormasyon lamang. Hindi ito inaalok o inilaan upang magamit bilang ligal, buwis, pamumuhunan, pinansiyal, o iba pang payo.
Pinagmulan: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss