DeFi Platform DFX Finance diz que foi hackeado por US $ 7.5 milhões

A DFX Finance, uma plataforma de negociação de stablecoin apoiada pela Polychain Capital e True Ventures, confirmado que foi hackeado por US$ 7.5 milhões.

A plataforma de negociação disse que a exploração começou por volta das 7h21 UTC na quinta-feira e que foi notificada das explorações cerca de 20 a 30 minutos após o início da primeira transação.

A DFX Finance disse que adotou uma postura proativa para interromper as operações de seus contratos inteligentes para conter o ataque. Por causa de sua intervenção, o protocolo hackeado disse que o invasor não conseguiu mover todos os fundos roubados, pois um bot MEV interceptou até US$ 3.2 milhões dos fundos.

O hacker, no entanto, desviou alguns fundos que foram enviados para o Tornado Cash, o serviço de mixagem de criptomoedas sancionado pelo Departamento do Tesouro dos Estados Unidos. O invasor da DFX Finance conseguiu obter os fundos com base em uma vulnerabilidade em seu protocolo de empréstimo flash.

Conforme detalhado pelos pesquisadores da BlockSec, o invasor emprestou fundos da DFX Finance na blockchain Ethereum e imediatamente depositou os fundos de volta usando uma “função de retorno de chamada insegura”. Isso enganou o protocolo para pensar que os fundos foram pagos quando na verdade não foram. 

“Quando um usuário empresta dinheiro, o protocolo não deve permitir nenhuma chamada de função que possa alterar o equilíbrio do protocolo DFX”, disse o CEO da BlockSec, Yajin Zhou, ao The Block.

O invasor conseguiu retirar 2,963 ETH (no valor de cerca de US$ 3.8 milhões) e cerca de US$ 500,000. A DFX Finance disse que seu pool de polígonos não foi afetado, no entanto, o protocolo disse que uma vez que abriu os saques, todos deveriam tentar aproveitar o subsídio para retirar seus fundos.

Pela enésima vez, um protocolo DeFi foi foi hackeado novamente, ressaltando o apelo à cautela entre os investidores e provisões de segurança adequadas em todos os setores.

Fonte da imagem: Shutterstock