ДФКС Финанце, децентрализовани протокол размене за фиат везане стабилне цоине, известио је да је нападнут у 2:21 по источном времену. Непознати нападач је извукао око 7.5 милиона долара из ДФКС-а, према проценама безбедносних истраживача у БлоцкСец-у.
Тим ДФКС Финанце је признао безбедносни експлоатацију и рекао да је паузирао све своје паметне уговоре да би обуздао проблем. „Обавештени смо о сумњивој активности у року од 20-30 минута од прве трансакције и извршили смо паузу за све ДФКС уговоре у року од неколико минута након потврде напада“, наводи се. рекао.
Чини се да је инцидент био напад са омогућеним флеш позајмицом који је хакеру омогућио да злонамерно повуче из ДФКС-а. Од 7.5 милиона долара украдене имовине, нападач је могао да пребаци само 4.3 милиона долара у свој новчаник - укључујући 2963 етар (3.8 милиона долара) и неке $500,000 у стабилним новцима.
Преостали део украдене имовине — око $ КСНУМКС милиона - је екстрахован од стране МЕВ бота у трансакцији која се покреће испред, која се такође назива сендвич нападом. Средства извучена ботом се налазе у адреса контролише бот оператер и може се повратити ако је оператер вољан. ДФКС Финанце има већ питао оператер да их врати.
Вектор напада
Нападач је искористио несигуран механизам флеш позајмице који нуди ДФКС Финанце на Етхереум блок ланцу. Фласх зајам је функција у којој се велика количина криптовалуте може позајмити без колатерала, само ако се та средства врате у истој трансакцији.
Током напада, нападач је позајмио стабилне цоине у оквиру ДФКС Финанце-а, а затим их депоновао назад у ДФКС-ове ликвидне фондове помоћу „несигурне функције повратног позива“ која је заобишла његове флеш провере зајма. Након флеш позајмице, нападач је још увек имао токене фонда ликвидности у поседу, које је продао.
Напад је исцрпио ДФКС-ове токене за ликвидност путем вишеструких фласх зајмова да би преузео контролу над преко 7.5 милиона долара. Безбедносни аналитичари у БлоцкСец-у кажу да депозити у фонду ликвидности нису смели бити дозвољени, јер је то преварило протокол да верује да су средства враћена и да су безбедна.
„Када корисник позајми новац, протокол не би требало да дозволи било какве позиве функција који могу да промене стање ДФКС протокола“, рекао је извршни директор БлоцкСец-а Иајин Зхоу за Тхе Блоцк.
Док су флеш зајмови намењени за арбитражну трговину и побољшање капиталне ефикасности, хакери су их редовно злоупотребљавали да би искористили одређене рањивости.
Прошле године, ДФКС Финанце подигао почетни круг од 5 милиона долара који предводе Полицхаин Цапитал и Труе Вентурес.
© 2022. Блоцк Црипто, Инц. Сва права задржана. Овај је чланак доступан само у информативне сврхе. Не нуди се или се не користи као правни, порески, инвестициони, финансијски или други савет.
Извор: хттпс://ввв.тхеблоцк.цо/пост/185796/полицхаин-дфк-финанце-хацкед?утм_соурце=рсс&утм_медиум=рсс