DFX Finance, een handelsplatform voor stablecoin dat wordt ondersteund door Polychain Capital en True Ventures, heeft bevestigd dat het is gehackt voor $ 7.5 miljoen.
Het handelsplatform zei dat de exploit op donderdag rond 7:21 UTC begon en dat het ongeveer 20 tot 30 minuten nadat de eerste transactie was gestart op de hoogte werd gesteld van de exploits.
DFX Finance zei dat het een proactieve houding aannam om de activiteiten van zijn slimme contracten stop te zetten om de aanval in te dammen. Door zijn tussenkomst zei het gehackte protocol dat de aanvaller niet al het gestolen geld kon verplaatsen, aangezien een MEV-bot maar liefst $ 3.2 miljoen van het geld had onderschept.
De hacker schoot echter op met wat geld dat naar Tornado Cash werd gestuurd, de crypto-mixservice die werd gesanctioneerd door het Amerikaanse ministerie van Financiën. De aanvaller van DFX Finance kon het geld in handen krijgen op basis van een kwetsbaarheid in het flitsleenprotocol.
Zoals beschreven door BlockSec-onderzoekers, leende de aanvaller geld van DFX Finance op de Ethereum-blockchain en stortte het geld onmiddellijk terug met behulp van een "onveilige callback-functie". Dit misleidde het protocol om te denken dat de fondsen zijn betaald terwijl dat niet het geval was.
"Als een gebruiker geld leent, mag het protocol geen functie-aanroepen toestaan die de balans van het DFX-protocol kunnen veranderen", vertelde BlockSec CEO Yajin Zhou aan The Block.
De aanvaller slaagde erin 2,963 ETH (ter waarde van ongeveer $ 3.8 miljoen) en zo'n $ 500,000 weg te voeren. DFX Finance zei dat zijn Polygon-pool niet werd beïnvloed, maar het protocol zei dat zodra het opnames had geopend, iedereen zou moeten proberen te profiteren van de vergoeding om hun geld eruit te halen.
Voor de zoveelste keer heeft een DeFi-protocol weer gehackt, wat de oproep tot voorzichtigheid onder beleggers en goede veiligheidsvoorzieningen over de hele linie onderstreept.
Afbeeldingsbron: Shutterstock
Bron: https://blockchain.news/news/defi-platform-dfx-finance-says-it-has-been-hacked-for-$7.5m