ДеФи протокол дФорце претрпео је губитак од преко 3.6 милиона долара, које је хакер успео да извуче захваљујући реентланци нападу који је изведен на ланцима Арбитрум и Оптимисм.
Напад је настао због рањивости у функцији паметног уговора која је омогућавала корисницима да израчунају цене оракула када су повезани са Цурве Финанце.
Изгубљено преко 3.6 милиона долара
Хакер је успео да извуче криптовалуту у вредности од 3.6 милиона долара кроз поновни улазак на дФорце ДеФи протокол. Хакер је успео да циља трезор протокола на Цурве Финанце, аутоматизованој платформи за творце тржишта (АММ) која ради на блок-чејновима Арбитрум и Оптимисм. Хак је изнео на видело корисник Твитера @ЗоомерАнон који је твитовао да је дФорце изгубио око 1.7 милиона долара кроз серију трансакција фласх позајмица извршених на ланцу оптимизма. Блоцкцхаин безбедносна фирма ПецкСхиелд потврдила је напад и оценила штету на око 2300 ЕТХ, у вредности од око 3.65 милиона долара.
ДеФорс је такође потврдио напад на своју званичну Твиттер рукохвату, додајући да је паузирао све трезоре како би избегао додатну штету.
„Десетог фебруара, наши трезори встЕТХ/ЕТХ криве на Арбитрум & Оптимисм су експлоатисани, и одмах смо паузирали све трезоре. Рањивост је идентификована, а експлоатација је била специфична за дФорце-ов встЕТХ/ЕТХ-Цурве трезор. Средства корисника достављена дФорце Лендингу и другим трезорима су СИГУРНА.“
Детаљи напада
Према доступним детаљима о нападу, хакер је био у могућности да искористи рањивост при поновном уласку која је била присутна у функцији паметног уговора коју користи дФорце за добијање пророчких цена од Арбитрум анд Оптимисм. Напади поновног уласка се дешавају када је хакер у могућности да искористи грешку у паметном уговору, омогућавајући му да више пута повлачи средства, преносећи их на неовлашћени уговор. Познато је да се ови напади дешавају на протоколе који су повезани са Цурве Финанце.
Блоцкцхаин безбедносна фирма ПецкСхиелд објаснила је да је у случају овог напада хакер био у могућности да манипулише ценом умотаног уложеног ЕТХ-а у Цурве-овом трезору (встЕТХЦРВ-мерач) и ликвидира неколико позиција за флеш позајмицу. До сада, средства и даље леже на рачуну хакера. ДеФорце је паузирао све уговоре како би спречио додатне губитке у протоколу и нагласио да средства клијената остају безбедна. Дефорс је такође навео да је нападач створио протоколарни дуг од 2.3 милиона долара и додао да ће нападачу понудити награду ако средства буду враћена.
„Ангажовали смо са безбедносном фирмом @СловМист_теам и нашим партнерима у екосистему да даље истражимо ствар и желели бисмо да понудимо награду експлоататору ако средства буду враћена. Останите са нама за даља ажурирања.”
Да ли је ДеФи мека мета?
Последњи напад на дФорце догодио се две године након што је протокол изгубио 25 милиона долара у великом нападу на протокол. Међутим, нападач је вратио скоро сва украдена средства. Иако је у последњем нападу украдена знатно мања количина, то је последњи у дугом низу напади циљајући ДеФи екосистем, који је један од најбрже растућих екосистема у криптосистему. Према извештају који је објавио ТРМ Лабс, више од 3.7 милијарди долара изгубљено је због крипто хакова у 2022. години, од чега је преко 80% тог броја од ДеФи експлоатације.
Бујица хакова и огромних пријављених губитака очигледно су привукли пажњу регулатора, укључујући и Европску унију. Регулатори су се обавезали да ће радити на увођењу нових промена политике како би се побољшао надзор ДеФи од стране регулаторних тела.
Изјава о одрицању одговорности: Овај чланак је представљен само у информативне сврхе. Није понуђен нити намерава да се користи као правни, порески, инвестициони, финансијски или други савет.
Извор: хттпс://цриптодаили.цо.ук/2023/02/дефи-протоцол-дфорце-суфферс-реентранци-аттацк-3-6-миллион-лост