DFX Finance, een gedecentraliseerd uitwisselingsprotocol voor fiat-gekoppelde stablecoins, meldde dat het om 2:21 uur ET was aangevallen. Volgens schattingen van beveiligingsonderzoekers van BlockSec heeft een onbekende aanvaller ongeveer $ 7.5 miljoen overgeheveld van DFX.
Het DFX Finance-team erkende de beveiligingsexploit en zei dat het al zijn slimme contracten heeft onderbroken om het probleem te beheersen. "We werden binnen 20-30 minuten na de eerste transactie op de hoogte gebracht van de verdachte activiteit en voerden een pauze uit op alle DFX-contracten binnen een paar minuten na bevestiging van de aanval", zegt het. zei.
Het incident lijkt een aanval met flash-lening te zijn waarmee de hacker een kwaadwillende opname van DFX kon doen. Van de $ 7.5 miljoen aan gestolen activa kon de aanvaller slechts $ 4.3 miljoen aan activa in zijn portemonnee overboeken - inclusief: 2963 ether ($ 3.8 miljoen) en sommige $500,000 in stabiele munten.
Het resterende deel van de gestolen activa — ongeveer $ 3.2 miljoen - werd geëxtraheerd door een MEV-bot in een front-running transactie, ook wel een sandwich-aanval genoemd. De door bots geëxtraheerde fondsen zitten in een adres gecontroleerd door de bot-operator en kan worden hersteld als de operator dat wil. DFX Finance heeft: al gevraagd de exploitant om ze terug te sturen.
De aanvalsvector
De aanvaller maakte gebruik van een onveilig flash-leningmechanisme aangeboden door DFX Finance op de Ethereum-blockchain. Een flitslening is een functie waarbij een grote hoeveelheid cryptocurrency kan worden geleend zonder onderpand, alleen als dat geld in dezelfde transactie wordt teruggegeven.
Tijdens de aanval leende de aanvaller stablecoins binnen DFX Finance en deponeerde deze vervolgens terug in de liquiditeitspools van DFX met een "onveilige callback-functie" die de flash-leningcontroles omzeilde. Na de flitslening had de aanvaller nog liquiditeitspool-tokens in bezit, die ze verkochten.
De aanval heeft de liquiditeitspool-tokens van DFX via meerdere flitsleningen leeggemaakt om de controle over meer dan $ 7.5 miljoen over te nemen. Beveiligingsanalisten bij BlockSec zeggen dat deposito's van liquiditeitspools niet hadden mogen worden toegestaan, omdat het het protocol liet geloven dat het geld was teruggestort en veilig was.
"Als een gebruiker geld leent, mag het protocol geen functie-aanroepen toestaan die de balans van het DFX-protocol kunnen veranderen", vertelde BlockSec CEO Yajin Zhou aan The Block.
Hoewel flitsleningen bedoeld zijn voor arbitragehandel en het verbeteren van de kapitaalefficiëntie, hebben hackers ze regelmatig misbruikt om bepaalde kwetsbaarheden uit te buiten.
Vorig jaar, DFX Finance opgebracht een seed-ronde van $ 5 miljoen onder leiding van Polychain Capital en True Ventures.
© 2022 The Block Crypto, Inc. Alle rechten voorbehouden. Dit artikel is uitsluitend bedoeld voor informatieve doeleinden. Het wordt niet aangeboden of bedoeld om te worden gebruikt als juridisch, fiscaal, investerings-, financieel of ander advies.
Bron: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss