DFX Finance, en dezentraliséierten Austauschprotokoll fir fiat-pegged Stablecoins, huet gemellt datt et um 2:21 Auer ET attackéiert gouf. En onbekannten Ugräifer huet ongeféier $ 7.5 Millioune vun DFX geholl, laut Schätzunge vu Sécherheetsfuerscher bei BlockSec.
D'DFX Finance Team huet d'Sécherheetsexploit unerkannt a gesot datt et all seng Smart Kontrakter gestoppt huet fir d'Thema ze enthalen. "Mir goufen vun der verdächteger Aktivitéit bannent 20-30 Minutte vun der éischter Transaktioun informéiert an hunn eng Paus op all DFX Kontrakter bannent e puer Minutten ausgefouert nodeems d'Attack bestätegt gouf," sot et. gesot.
Den Tëschefall schéngt e Flash-Prêt-aktivéierten Attack ze sinn, deen den Hacker e béiswëlleg Réckzuch aus DFX léisst. Vun de $ 7.5 Milliounen u geklauten Verméigen, konnt den Ugräifer nëmmen $ 4.3 Millioune Wäert vun Verméigen an hire Portemonnaie transferéieren - inklusiv 2963 ether ($ 3.8 Milliounen) an e puer $500,000 an stablecoins.
De reschtlechen Deel vun de geklauten Verméigen - ongeféier $ 3.2 Milliounen - gouf vun engem MEV Bot an engem Front-Lafen Transaktioun ofgebaut, och Sandwich Attack genannt. D'Bot-extraktéiert Fongen sëtzen an engem Adress vum Bot Bedreiwer kontrolléiert a kann erëmfonnt ginn wann de Bedreiwer gewëllt ass. DFX Finance huet schonn gefrot de Bedreiwer fir se zréckzeginn.
Den Attackvektor
Den Ugräifer profitéiert vun engem onséchere Flash-Prêtmechanismus, deen vun DFX Finance op der Ethereum Blockchain ugebuede gëtt. E Flash Prêt ass eng Feature, an där eng grouss Quantitéit u Krypto-Währung ouni Garantie geléint ka ginn, nëmmen wann dës Fongen an der selwechter Transaktioun zréckginn.
Wärend der Attack huet den Ugräifer Stablecoins bannent DFX Finance geléint an se dann zréck an d'DFX Liquiditéitspools deposéiert mat enger "onsécherer Callback Funktioun", déi seng Flash-Prêt Kontrollen ëmgaang ass. Nom Flash Prêt hat den Ugräifer nach Liquiditéitspool Tokens am Besëtz, déi si verkaf hunn.
D'Attack huet d'DFX Liquiditéitspool Token iwwer multiple Flash Prêten drainéiert fir d'Kontroll iwwer $7.5 Milliounen ze iwwerhuelen. Sécherheetsanalytiker bei BlockSec soen datt Liquiditéitspool Depositioune sollten net erlaabt sinn, well et de Protokoll getraff huet fir ze gleewen datt d'Fongen zréckginn a sécher waren.
"Wann e Benotzer Geld léint, däerf de Protokoll keng Funktiounsruffen erlaben, déi d'Gläichgewiicht vum DFX-Protokoll änneren kënnen", sot de BlockSec CEO Yajin Zhou The Block.
Wärend Flashprête fir Arbitragehandel geduecht sinn an d'Kapitaleffizienz verbesseren, hunn Hacker se regelméisseg mëssbraucht fir verschidde Schwachstelle auszenotzen.
D'lescht Joer, DFX Finance operstoen eng $ 5 Millioune Som Ronn gefouert vun Polychain Capital an True Ventures.
© 2022 The Block Crypto, Inc. All Rechter reservéiert. Dësen Artikel ass nëmme fir Informatioun Zwecker zur Verfügung gestallt. Et gëtt net ugebueden oder geduecht fir als legal, Steier, Investitioun, finanziell oder aner Berodung benotzt ze ginn.
Quell: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss