DeFi-protokollen dForce led et tab på over 3.6 millioner dollars, som hackeren var i stand til at fjerne takket være et reentrancy-angreb udført på Arbitrum- og Optimism-kæderne.
Angrebet skyldtes en sårbarhed i en smart kontraktfunktion, der gjorde det muligt for brugere at beregne orakelpriser, når de var tilsluttet Curve Finance.
Over $3.6 millioner tabt
En hacker var i stand til at sluge 3.6 millioner dollars i kryptovaluta gennem et genindtræden angreb på dForce DeFi-protokollen. Hackeren var i stand til at målrette protokollens hvælving på Curve Finance, en automatiseret market maker (AMM) platform, der opererer på Arbitrum og Optimism blockchains. Hacket blev bragt frem i lyset af Twitter-brugeren @ZoomerAnon, som tweetede, at dForce havde tabt omkring 1.7 millioner dollars gennem en række flashlånstransaktioner udført på Optimism Chain. Blockchain-sikkerhedsfirmaet PeckShield bekræftede angrebet og satte skaderne til omkring 2300 ETH, til en værdi af omkring $3.65 millioner.
DeForce bekræftede også angrebet på dets officielle Twitter-håndtag og tilføjede, at det havde sat alle hvælvinger på pause for at undgå yderligere skade.
"Den 10. februar blev vores wstETH/ETH-kurve-hvælvinger på Arbitrum & Optimism udnyttet, og vi satte straks alle hvælvinger på pause. Sårbarheden er identificeret, og udnyttelsen var specifik for dForces wstETH/ETH-Curve vault. Brugernes midler leveret til dForce Lending og andre bokse er SIKRE."
Detaljer om angrebet
Ifølge de tilgængelige detaljer om angrebet var hackeren i stand til at udnytte en genindtræden-sårbarhed, der var til stede i en smart kontraktfunktion, der blev brugt af dForce til at opnå orakelpriser fra Arbitrum og Optimism. Reentrancy-angreb opstår, når en hacker er i stand til at udnytte en fejl i en smart kontrakt, hvilket giver dem mulighed for gentagne gange at hæve penge og overføre dem til en uautoriseret kontrakt. Disse angreb er kendt for at forekomme på protokoller, der er knyttet til Curve Finance.
Blockchain-sikkerhedsfirmaet PeckShield forklarede, at hackeren i tilfælde af dette angreb var i stand til at manipulere prisen på indpakket ETH i Curves hvælving (wstETHCRV-måler) og likvidere flere flashlånspositioner. Indtil videre sidder midlerne stadig på hackerens konto. DeForce har sat alle kontrakter på pause for at forhindre yderligere tab til protokollen og understreget, at kundemidler forbliver sikre. DeForce udtalte også, at angriberen havde oprettet en protokolgæld på $2.3 millioner og tilføjede også, at de ville tilbyde angriberen en dusør, hvis midlerne blev returneret.
"Vi har engageret os med sikkerhedsfirmaet @SlowMist_team og vores økosystempartnere for at undersøge sagen yderligere og vil gerne tilbyde en dusør til udnytteren, hvis midlerne blev returneret. Følg med for yderligere opdateringer."
Er DeFi et blødt mål?
Det seneste angreb på dForce fandt sted to år efter, at protokollen tabte 25 millioner dollars i et større angreb på protokollen. Angriberen returnerede dog næsten alle de stjålne midler. Mens det seneste angreb så et betydeligt mindre beløb stjålet, er det det seneste i en lang række af angreb rettet mod DeFi-økosystemet, som er et af de hurtigst voksende økosystemer inden for krypto. Ifølge en rapport udgivet af TRM Labs gik over 3.7 milliarder dollars tabt på grund af kryptohack i 2022, med over 80 % af dette antal fra DeFi-udnyttelser.
Den bølge af hacks og de enorme tab, der er rapporteret, har tydeligvis tiltrukket sig opmærksomhed fra regulatorer, som omfatter EU. Regulatorer har lovet at arbejde hen imod at indføre nye politiske ændringer for at hjælpe med at forbedre DeFi-tilsyn fra regulerende organer.
Ansvarsfraskrivelse: Denne artikel gives kun til informationsformål. Det tilbydes eller er ikke beregnet til at blive brugt som juridisk, skat, investering, finansiel eller anden rådgivning.
Kilde: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost