DFX Finance, фиатка байланган стабилкоиндердин борбордон ажыратылган алмашуу протоколу, ага ET 2:21де кол салуу болгонун билдирди. BlockSecтин коопсуздук изилдөөчүлөрүнүн эсеби боюнча, белгисиз чабуулчу DFXден болжол менен 7.5 миллион доллар уурдап алган.
DFX Finance командасы коопсуздуктун эксплуатациясын мойнуна алып, маселени камтуу үчүн өзүнүн бардык акылдуу келишимдерин тындырганын айтты. "Бизге биринчи транзакциядан кийин 20-30 мүнөттүн ичинде шектүү иш-аракеттер тууралуу кабар берилди жана чабуулду ырастагандан кийин бир нече мүнөттүн ичинде бардык DFX келишимдеринде тыныгуу жасадык". мындай деди:.
Окуя хакерге DFXден зыяндуу түрдө чыгууга мүмкүндүк берген флеш-насыяга багытталган чабуул болуп көрүнөт. Уурдалган 7.5 миллион долларлык активдердин ичинен кол салган адам 4.3 миллион долларлык активдерди гана капчыгына которо алган, анын ичинде 2963 эфир (3.8 млн доллар) жана кээ бирлери $500,000 стабилкоиндерде.
Уурдалган активдердин калган бөлүгү — болжол менен $ 3.2 миллион - сэндвич чабуулу деп да аталган алдыңкы транзакцияда MEV боту тарабынан чыгарылган. бот-жазылган каражаттар бир отурат дарек бот оператору тарабынан көзөмөлдөнөт жана оператор кааласа калыбына келтирилиши мүмкүн. DFX Finance бар буга чейин деп сурады аларды кайтарып берүү үчүн оператор.
Чабуул вектору
Чабуулчу Ethereum блокчейнинде DFX Finance тарабынан сунушталган кооптуу флеш-кредит механизминен пайдаланган. Флэш-кредит - бул чоң суммадагы криптовалютаны күрөөсүз эле алууга мүмкүн болгон өзгөчөлүк, эгерде ошол каражаттар ошол эле транзакцияда кайтарылган болсо.
Чабуул учурунда, чабуулчу DFX Finance ичинде стабилкоиндерди карызга алып, андан кийин аларды "коопсуз кайра чалуу функциясы" менен DFXтин ликвиддүүлүк бассейндерине сактап койгон, ал анын флеш-кредит текшерүүлөрүн кыйгап өткөн. Флэш-насыядан кийин, чабуулчу дагы эле ликвиддүүлүк пулунун энбелгилерин ээлеп, аларды сатып жиберишкен.
Кол салуу DFXтин ликвиддүүлүк пулунун белгилерин бир нече флэш кредиттер аркылуу 7.5 миллион доллардан ашык көзөмөлгө алып салды. BlockSecтин коопсуздук боюнча талдоочулары ликвиддүүлүк пулунун депозиттерине жол берилбеши керек деп эсептешет, анткени ал протоколду каражаттар кайтарылган жана коопсуз деп ишендирди.
"Колдонуучу акчаны карызга алганда, протокол DFX протоколунун балансын өзгөртө турган эч кандай функциялык чалууларга жол бербеши керек" деди BlockSecтин башкы директору Яжин Чжоу The Block.
Флеш кредиттер арбитраждык соодага жана капиталдын эффективдүүлүгүн жогорулатууга арналган болсо да, хакерлер аларды айрым алсыздыктардан пайдалануу үчүн дайыма кыянаттык менен пайдаланып келишкен.
Өткөн жылы DFX Finance көтөрүлгөн Polychain Capital жана True Ventures жетектеген $ 5 миллион үрөн раунду.
© 2022 The Block Crypto, Inc. Бардык укуктар корголгон. Бул макала маалыматтык максатта гана берилген. Ал юридикалык, салыктык, инвестициялык, каржылык же башка кеп-кеңеш катары колдонулбайт.
Булак: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss