DFX Finance, ett decentraliserat utbytesprotokoll för fiat-peggade stablecoins, rapporterade att det attackerades klockan 2:21 ET. En okänd angripare hämtade cirka 7.5 miljoner dollar från DFX, enligt uppskattningar från säkerhetsforskare på BlockSec.
DFX Finance-teamet erkände säkerhetsexploatet och sa att det har pausat alla sina smarta kontrakt för att begränsa problemet. "Vi underrättades om den misstänkta aktiviteten inom 20-30 minuter efter den första transaktionen och gjorde en paus på alla DFX-kontrakt inom några minuter efter att ha bekräftat attacken," det sade.
Incidenten verkar vara en attack med flashlån som låter hackaren göra ett uppsåtligt uttag från DFX. Av de 7.5 miljoner dollar i stulna tillgångar kunde angriparen bara överföra tillgångar till ett värde av 4.3 miljoner dollar till sin plånbok – inklusive 2963 eter (3.8 miljoner USD) och några $500,000 i stablecoins.
Den återstående delen av de stulna tillgångarna — ca $ 3.2 miljoner - extraherades av en MEV-bot i en front-running transaktion, även kallad en sandwich-attack. De bot-extraherade medlen sitter i en adress kontrolleras av botoperatören och kan återställas om operatören är villig. DFX Finance har redan frågade operatören att lämna tillbaka dem.
Attackvektorn
Angriparen utnyttjade en osäker flashlånemekanism som erbjuds av DFX Finance på Ethereum-blockkedjan. Ett flashlån är en funktion där en stor mängd kryptovaluta kan lånas utan säkerhet, bara om dessa medel återlämnas i samma transaktion.
Under attacken lånade angriparen stablecoins inom DFX Finance och satte sedan tillbaka dem i DFX:s likviditetspooler med en "osäker återuppringningsfunktion" som kringgick dess checkar av flashlån. Efter flashlånet hade angriparen fortfarande likviditetspoletter i besittning, som de sålde av.
Attacken dränerade DFX:s likviditetspool-tokens via flera flashlån för att ta kontroll över över $7.5 miljoner. Säkerhetsanalytiker på BlockSec säger att likviditetspoolinsättningar inte borde ha tillåtits, eftersom det lurade protokollet att tro att medlen har returnerats och var säkra.
"När en användare lånar pengar bör protokollet inte tillåta några funktionsanrop som kan ändra balansen i DFX-protokollet," sa BlockSecs vd Yajin Zhou till The Block.
Medan flashlån är avsedda för arbitragehandel och för att förbättra kapitaleffektiviteten, har hackare regelbundet missbrukat dem för att utnyttja vissa sårbarheter.
Förra året, DFX Finance insamlat en seedrunda på 5 miljoner dollar ledd av Polychain Capital och True Ventures.
© 2022 The Block Crypto, Inc. Alla rättigheter förbehållna. Den här artikeln är endast avsedd för informationsändamål. Det erbjuds inte eller är avsett att användas som juridisk, skatt, investering, finansiell eller annan rådgivning.
Källa: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss