O DFX Finance, um protocolo de câmbio descentralizado para stablecoins atreladas a fiduciário, informou que foi atacado às 2h21 ET. Um invasor desconhecido desviou aproximadamente US$ 7.5 milhões da DFX, de acordo com estimativas de pesquisadores de segurança da BlockSec.
A equipe da DFX Finance reconheceu a exploração de segurança e disse que pausou todos os seus contratos inteligentes para conter o problema. “Fomos notificados da atividade suspeita dentro de 20 a 30 minutos da primeira transação e executamos uma pausa em todos os contratos DFX alguns minutos após a confirmação do ataque”, disse o comunicado. dito.
O incidente parece ser um ataque ativado por empréstimo em flash que permitiu que o hacker fizesse uma retirada maliciosa do DFX. Dos US$ 7.5 milhões em ativos roubados, o invasor só conseguiu transferir US$ 4.3 milhões em ativos para sua carteira – incluindo 2963 éter (US$ 3.8 milhões) e alguns $500,000 em stablecoins.
A parte restante dos bens roubados - cerca de $ 3.2 milhões - foi extraído por um bot MEV em uma transação de front-running, também chamada de ataque sanduíche. Os fundos extraídos por bots ficam em um endereço controlado pelo operador do bot e pode ser recuperado se o operador estiver disposto. A DFX Finance tem já perguntou o operador para devolvê-los.
O vetor de ataque
O invasor aproveitou um mecanismo inseguro de empréstimo em flash oferecido pela DFX Finance na blockchain Ethereum. Um empréstimo em flash é um recurso no qual uma grande quantidade de criptomoeda pode ser emprestada sem garantia, apenas se esses fundos forem devolvidos na mesma transação.
Durante o ataque, o atacante emprestou stablecoins dentro da DFX Finance e depois as depositou de volta nos pools de liquidez da DFX com uma “função de retorno de chamada insegura” que ignorou suas verificações de empréstimo em flash. Após o empréstimo em flash, o invasor ainda possuía tokens de pool de liquidez, que foram vendidos.
O ataque drenou os tokens do pool de liquidez da DFX por meio de vários empréstimos flash para assumir o controle de mais de US$ 7.5 milhões. Analistas de segurança da BlockSec dizem que os depósitos de pool de liquidez não deveriam ter sido permitidos, pois enganou o protocolo ao acreditar que os fundos foram devolvidos e estavam seguros.
“Quando um usuário empresta dinheiro, o protocolo não deve permitir nenhuma chamada de função que possa alterar o equilíbrio do protocolo DFX”, disse o CEO da BlockSec, Yajin Zhou, ao The Block.
Embora os empréstimos relâmpago sejam destinados à negociação de arbitragem e à melhoria da eficiência do capital, os hackers abusaram regularmente deles para explorar certas vulnerabilidades.
No ano passado, a DFX Finance angariado uma rodada inicial de US$ 5 milhões liderada pela Polychain Capital e True Ventures.
© 2022 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss