DFX Finance, en decentraliseret udvekslingsprotokol for fiat-pegede stablecoins, rapporterede, at den blev angrebet kl. 2:21 ET. En ukendt angriber hentede cirka 7.5 millioner dollars fra DFX, ifølge estimater fra sikkerhedsforskere hos BlockSec.
DFX Finance-teamet anerkendte sikkerhedsudnyttelsen og sagde, at det har sat alle sine smarte kontrakter på pause for at begrænse problemet. "Vi blev underrettet om den mistænkelige aktivitet inden for 20-30 minutter efter den første transaktion og udførte en pause på alle DFX-kontrakter inden for et par minutter efter bekræftelse af angrebet," det sagde.
Hændelsen ser ud til at være et flash-lån-aktiveret angreb, der lod hackeren foretage en ondsindet tilbagetrækning fra DFX. Af de 7.5 millioner dollars i stjålne aktiver kunne angriberen kun overføre aktiver til en værdi af 4.3 millioner dollars til deres pung - inkl. 2963 ether ($3.8 millioner) og nogle $500,000 i stablecoins.
Den resterende del af de stjålne aktiver - ca $ 3.2 millioner — blev udvundet af en MEV-bot i en frontløbende transaktion, også kaldet et sandwich-angreb. De bot-udtrukne midler sidder i en adresse kontrolleret af bot-operatøren og kan gendannes, hvis operatøren er villig. DFX Finance har allerede spurgte operatøren til at returnere dem.
Angrebsvektoren
Angriberen udnyttede en usikker flash-lånemekanisme, der blev tilbudt af DFX Finance på Ethereum blockchain. Et flashlån er en funktion, hvor en stor mængde kryptovaluta kan lånes uden sikkerhed, kun hvis disse midler returneres i den samme transaktion.
Under angrebet lånte angriberen stablecoins i DFX Finance og deponerede dem derefter tilbage i DFX's likviditetspuljer med en "usikker tilbagekaldsfunktion", der omgik dets flashlånschecks. Efter flashlånet havde angriberen stadig likviditetspulje-tokens i besiddelse, som de solgte fra.
Angrebet drænede DFX's likviditetspulje-tokens via flere flash-lån for at overtage kontrol over $7.5 millioner. Sikkerhedsanalytikere hos BlockSec siger, at likviditetspuljeindskud ikke burde have været tilladt, da det narrede protokollen til at tro, at midlerne er blevet returneret og var sikre.
"Når en bruger låner penge, bør protokollen ikke tillade nogen funktionsopkald, der kan ændre balancen i DFX-protokollen," fortalte BlockSec CEO Yajin Zhou til The Block.
Mens flashlån er beregnet til arbitragehandel og forbedring af kapitaleffektiviteten, har hackere jævnligt misbrugt dem til at udnytte visse sårbarheder.
Sidste år, DFX Finans hævet en seedrunde på $5 millioner ledet af Polychain Capital og True Ventures.
© 2022 The Block Crypto, Inc. Alle rettigheder forbeholdes. Denne artikel er kun til orientering. Det tilbydes ikke eller er beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.
Kilde: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss