A DeFi protokoll dForce több mint 3.6 millió dolláros veszteséget szenvedett el, amelyet a hacker az Arbitrum és az Optimism láncokon végrehajtott visszatérési támadásnak köszönhetően tudott kiszipolyozni.
A támadást egy intelligens szerződés funkció sérülékenysége okozta, amely lehetővé tette a felhasználók számára az Oracle árak kiszámítását, amikor csatlakoztak a Curve Finance-hez.
Több mint 3.6 millió dollár elveszett
Egy hacker 3.6 millió dollár értékű kriptovalutát tudott kiszipolyozni a dForce DeFi protokoll elleni újbóli belépési támadás révén. A hacker meg tudta célozni a protokoll tárolóját a Curve Finance-en, egy automatizált piacjegyző (AMM) platformon, amely az Arbitrum és Optimism blokkláncokon működik. A feltörést @ZoomerAnon Twitter-felhasználó hozta nyilvánosságra, aki Twitteren azt írta, hogy a dForce körülbelül 1.7 millió dollárt veszített az Optimism Chain-en végrehajtott gyorskölcsön-tranzakciók során. A PeckShield blokklánc biztonsági cég megerősítette a támadást, és körülbelül 2300 ETH-ra tette a kárt, ami körülbelül 3.65 millió dollár.
A DeForce megerősítette a támadást a hivatalos Twitter-kezelője ellen is, hozzátéve, hogy a további károk elkerülése érdekében az összes trezort szüneteltette.
„Február 10-én kihasználták az Arbitrum & Optimism wstETH/ETH Curve trezorjainkat, és azonnal felfüggesztettük az összes trezort. A sérülékenységet azonosították, és a kihasználás a dForce wstETH/ETH-Curve tárolójára jellemző. A felhasználók pénzeszközei a dForce Lendingnek és más tárolóknak BIZTONSÁGOSak.”
A támadás részletei
A támadásról rendelkezésre álló adatok szerint a hacker képes volt kihasználni a visszatérési sebezhetőséget, amely a dForce által használt intelligens szerződés funkcióban volt, hogy oracle árakat szerezzen az Arbitrum és az Optimism cégtől. Visszatérési támadások akkor fordulnak elő, amikor a hacker képes kihasználni egy intelligens szerződés hibáját, lehetővé téve számára, hogy ismételten pénzt vonjon ki, és átutalja azokat egy jogosulatlan szerződésre. Ismeretes, hogy ezek a támadások a Curve Finance programhoz kapcsolódó protokollokon fordulnak elő.
A Blockchain biztonsági cég, a PeckShield kifejtette, hogy a támadás esetén a hacker manipulálni tudta a Curve trezorában (wstETHCRV-mérő) becsomagolt ETH árát, és több gyorskölcsön-pozíciót likvidált. Eddig az alapok még mindig a hacker számláján vannak. A DeForce minden szerződést felfüggesztett, hogy megelőzze a protokoll további veszteségeit, és hangsúlyozta, hogy az ügyfelek pénzeszközei biztonságban maradnak. DeForce azt is kijelentette, hogy a támadó 2.3 millió dolláros protokolltartozást generált, és azt is hozzátette, hogy fejpénzt ajánlanak fel a támadónak, ha visszakapják az összeget.
„Együttműködtünk a @SlowMist_team biztonsági céggel és ökoszisztéma-partnereinkkel, hogy tovább vizsgáljuk az ügyet, és szeretnénk jutalmat ajánlani a kizsákmányolónak, ha a pénz visszakerül. Maradjon velünk a további frissítésekért.”
A DeFi lágy célpont?
A dForce elleni legutóbbi támadás két évvel azután történt, hogy a protokoll 25 millió dollárt veszített a protokoll elleni jelentős támadás során. A támadó azonban szinte az összes ellopott pénzt visszaadta. Míg a legutóbbi támadásnál lényegesen kisebb összeget loptak el, ez a legutóbbi a hosszú soron belül támadások a DeFi ökoszisztémát célozzák meg, amely az egyik leggyorsabban növekvő ökoszisztéma a kriptográfia területén. A TRM Labs által közzétett jelentés szerint 3.7-ben több mint 2022 milliárd dollárt veszítettek a kriptográfiai hackek, ennek több mint 80%-a a DeFi kizsákmányolásából származik.
A feltörések özöne és a jelentett óriási veszteségek nyilvánvalóan felkeltették a szabályozók figyelmét, beleértve az Európai Uniót is. A szabályozó hatóságok ígéretet tettek arra, hogy új politikai változások bevezetésén dolgoznak, hogy javítsák a DeFi szabályozó testületek általi felügyeletét.
Jogi nyilatkozat: Ez a cikk csak tájékoztató jellegű. Nem ajánlják fel, és nem kívánják felhasználni jogi, adóügyi, befektetési, pénzügyi vagy egyéb tanácsadásként.
Forrás: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost