DFX Finance, en desentralisert utvekslingsprotokoll for fiat-pegede stablecoins, rapporterte at den ble angrepet klokken 2:21 ET. En ukjent angriper hentet omtrent 7.5 millioner dollar fra DFX, ifølge estimater fra sikkerhetsforskere ved BlockSec.
DFX Finance-teamet erkjente sikkerhetsutnyttelsen og sa at de har stoppet alle sine smarte kontrakter for å begrense problemet. "Vi ble varslet om den mistenkelige aktiviteten innen 20-30 minutter etter den første transaksjonen og utførte en pause på alle DFX-kontrakter innen noen få minutter etter bekreftelse av angrepet," sa.
Hendelsen ser ut til å være et flash-lån-aktivert angrep som lar hackeren foreta et ondsinnet uttak fra DFX. Av 7.5 millioner dollar i stjålne eiendeler kunne angriperen bare overføre eiendeler verdt 4.3 millioner dollar inn i lommeboken – inkludert 2963 eter ($3.8 millioner) og noen $500,000 i stablecoins.
Den resterende delen av de stjålne eiendelene - ca $ 3.2 millioner - ble hentet ut av en MEV-bot i en front-running transaksjon, også kalt et sandwich-angrep. De bot-ekstraherte midlene sitter i en adresse kontrollert av bot-operatøren og kan gjenopprettes hvis operatøren er villig. DFX Finance har allerede spurte operatøren for å returnere dem.
Angrepsvektoren
Angriperen utnyttet en usikker flash-lånemekanisme som tilbys av DFX Finance på Ethereum-blokkjeden. Et flashlån er en funksjon der en stor mengde kryptovaluta kan lånes uten sikkerhet, bare hvis disse midlene returneres i samme transaksjon.
Under angrepet lånte angriperen stablecoins i DFX Finance og deponerte dem deretter tilbake i DFXs likviditetspooler med en "usikker tilbakeringingsfunksjon" som gikk utenom flashlånssjekkene. Etter flash-lånet hadde angriperen fortsatt likviditetspool-tokens i besittelse, som de solgte av.
Angrepet tappet DFXs likviditetspool-tokens via flere flash-lån for å ta kontroll over over $7.5 millioner. Sikkerhetsanalytikere hos BlockSec sier at innskudd i likviditetspool ikke burde vært tillatt, da det lurte protokollen til å tro at midlene har blitt returnert og var sikre.
"Når en bruker låner penger, bør protokollen ikke tillate noen funksjonsanrop som kan endre balansen i DFX-protokollen," sa BlockSec-sjef Yajin Zhou til The Block.
Mens flash-lån er ment for arbitrasjehandel og forbedring av kapitaleffektiviteten, har hackere regelmessig misbrukt dem for å utnytte visse sårbarheter.
I fjor, DFX Finance hevet en seedrunde på $5 millioner ledet av Polychain Capital og True Ventures.
© 2022 The Block Crypto, Inc. Alle rettigheter reservert. Denne artikkelen er kun ment for informasjonsformål. Det blir ikke tilbudt eller ment å brukes som juridiske, skatte-, investerings-, økonomiske eller andre råd.
Kilde: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss