DeFi протоколу dForce 3.6 миллион доллардан ашык чыгымга учурады, аны хакер Арбитрум жана Оптимизм чынжырларында жасалган кайра чабуулдун аркасында өчүрө алды.
Кол салуу Curve Finance менен туташканда колдонуучуларга Oracle баасын эсептөөгө мүмкүндүк берген акылдуу контракт функциясынын алсыздыгына байланыштуу болгон.
3.6 миллиондон ашык доллар жоголду
Хакер dForce DeFi протоколуна кайрадан чабуул жасоо аркылуу 3.6 миллион долларлык криптовалютаны чыгарып алган. Хакер Арбитрум жана Оптимизм блокчейндеринде иштеген автоматташтырылган маркет-мейкер (AMM) платформасы болгон Curve Finance протоколунун сактагычын бутага алган. Бул хакерликти Twitter колдонуучусу @ZoomerAnon ачыкка чыгарды, ал dForce оптимизм чынжырында аткарылган бир катар флеш кредиттик транзакциялар аркылуу 1.7 миллион долларга жакын жоготкон деп твиттерде жазды. Blockchain коопсуздук фирмасы PeckShield кол салууну тастыктады жана келтирилген зыянды болжол менен 2300 ETH, болжол менен 3.65 миллион долларга баалады.
DeForce ошондой эле өзүнүн расмий Twitter туткасында чабуулду тастыктап, кошумча зыян келтирбөө үчүн бардык сактагычтарды тындырганын кошумчалады.
“10-февралда биздин wstETH/ETH Curve сактагычтарыбыз Арбитрум жана Оптимизм боюнча пайдаланылды жана биз дароо бардык сактагычтарды тындырдык. Алсыздык аныкталган жана эксплуатация dForce'тун wstETH/ETH-Curve сактагычына мүнөздүү болгон. Колдонуучулардын dForce Lendingге берилген каражаттары жана башка сактагычтар КООПСУЗДУК.”
Чабуулдун чоо-жайы
Кол салуу тууралуу жеткиликтүү маалыматтарга ылайык, хакер dForce тарабынан Arbitrum жана Optimizmdan Oracle баасын алуу үчүн колдонулган акылдуу контракт функциясында болгон reentrancy аялуулугун пайдалана алган. Reentrancy чабуулдары хакер акылдуу келишимдеги мүчүлүштүктөрдү пайдаланып, акча каражаттарын кайра-кайра чыгарып, аларды уруксатсыз келишимге которууга мүмкүнчүлүк бергенде пайда болот. Бул чабуулдар Curve Finance менен байланышкан протоколдордо пайда болгону белгилүү.
Blockchain коопсуздук фирмасы PeckShield түшүндүргөндөй, бул чабуул болгон учурда хакер Curve сактагычындагы (wstETHCRV-өлчөмү) оролгон байланган ETH баасын өзгөртүп, бир нече флеш кредиттик позицияларды жок кыла алган. Азырынча каражат хакердин эсебинде турат. DeForce протоколго кошумча жоготууларды болтурбоо үчүн бардык келишимдерди токтотту жана кардарлардын каражаттары коопсуз бойдон калаарын баса белгиледи. DeForce ошондой эле кол салуучунун 2.3 миллион долларлык протоколдук карызын жаратканын жана эгер каражат кайтарылса, кол салган адамга сыйлык сунуштаарын кошумчалады.
«Биз @SlowMist_team коопсуздук фирмасы жана экосистемалык өнөктөштөрүбүз менен маселени мындан ары иликтөө үчүн иштештик жана эгерде каражаттар кайтарылып берилсе, эксплуататорго сыйлык берүүнү каалайбыз. Андан аркы өзгөртүүлөр үчүн айтылган."
DeFi жумшак максатпы?
dForce боюнча акыркы чабуул протоколго ири кол салууда протокол 25 миллион доллар жоготкондон эки жылдан кийин болду. Бирок кол салган адам уурдалган акчанын дээрлик баарын кайтарып берген. Эң акыркы кол салууда уурдалган сумма кыйла азыраак болгону менен, бул эң акыркысы кол салуу криптодогу эң тез өнүгүп келе жаткан экосистемалардын бири болгон DeFi экосистемасына багытталган. TRM Labs тарабынан жарыяланган отчётко ылайык, 3.7-жылы крипто хакерлердин айынан 2022 миллиард доллардан ашык жоголгон, анын 80%дан ашыгы DeFi эксплойттарынан.
Хакерлердин көптүгү жана ири жоготуулар Европа Биримдигин камтыган жөнгө салуучу органдардын көңүлүн бурган. Регуляторлор жөнгө салуучу органдар тарабынан DeFi көзөмөлүн жакшыртууга жардам берүү үчүн саясатка жаңы өзгөртүүлөрдү киргизүү боюнча иштөөгө убада беришти.
Эскертүү: Бул макала маалымат берүү максатында гана берилген. Ал юридикалык, салыктык, инвестициялык, каржылык жана башка кеңештер катары колдонулбайт же колдонулбайт.
Булак: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost