DFX Finance, en stablecoin-handelsplattform som støttes av Polychain Capital og True Ventures har bekreftet at den har blitt hacket for 7.5 millioner dollar.
Handelsplattformen sa at utnyttelsen startet rundt 7:21 UTC torsdag og at den ble varslet om utnyttelsene omtrent 20 – 30 minutter etter at den første transaksjonen ble igangsatt.
DFX Finance sa at det tok en proaktiv holdning for å stoppe driften av sine smarte kontrakter for å begrense angrepet. På grunn av sin intervensjon sa den hackede protokollen at angriperen ikke var i stand til å flytte alle de stjålne midlene ettersom en MEV-bot fanget opp så mye som $3.2 millioner av midlene.
Hackeren boltret seg imidlertid med noen midler som ble sendt til Tornado Cash, kryptoblandingstjenesten som ble sanksjonert av USAs finansdepartement. DFX Finance-angriperen var i stand til å få tak i midlene basert på en sårbarhet i flash-låneprotokollen.
Som beskrevet av BlockSec-forskere, lånte angriperen midler fra DFX Finance på Ethereum-blokkjeden og satte umiddelbart pengene tilbake ved å bruke en "usikker tilbakeringingsfunksjon." Dette lurte protokollen til å tro at midlene har blitt betalt når de faktisk ikke hadde det.
"Når en bruker låner penger, bør protokollen ikke tillate noen funksjonsanrop som kan endre balansen i DFX-protokollen," sa BlockSec-sjef Yajin Zhou til The Block.
Angriperen lyktes i å frakte bort 2,963 ETH (verdt rundt 3.8 millioner dollar) og rundt 500,000 dollar. DFX Finance sa at Polygon-poolen ikke ble påvirket, men protokollen sa når den åpnet uttak, alle burde prøve å dra nytte av godtgjørelsen for å få ut pengene sine.
For femtende gang har en DeFi-protokoll blitt hacket igjen, som understreker oppfordringen til forsiktighet blant investorer og riktige sikkerhetsbestemmelser over hele linja.
Bildekilde: Shutterstock
Kilde: https://blockchain.news/news/defi-platform-dfx-finance-says-it-has-been-hacked-for-$7.5m