DFX Finance, დეცენტრალიზებული გაცვლის პროტოკოლი ფიატზე დამაგრებული სტაბილკოინებისთვის, იტყობინება, რომ მასზე თავდასხმა განხორციელდა საღამოს 2:21 საათზე ET. BlockSec-ის უსაფრთხოების მკვლევარების შეფასებით, უცნობმა თავდამსხმელმა DFX-დან დაახლოებით 7.5 მილიონი დოლარი ამოიღო.
DFX Finance-ის გუნდმა აღიარა უსაფრთხოების ექსპლუატაცია და განაცხადა, რომ მან შეაჩერა ყველა მისი ჭკვიანი კონტრაქტი ამ საკითხის შესანარჩუნებლად. „ჩვენ შეგვატყობინეს საეჭვო აქტივობის შესახებ პირველი ტრანზაქციის 20-30 წუთში და შევასრულეთ პაუზა ყველა DFX კონტრაქტზე თავდასხმის დადასტურებიდან რამდენიმე წუთში. განაცხადა.
როგორც ჩანს, ინციდენტი არის ფლეშ-სესხის ჩართული თავდასხმა, რომელიც ჰაკერს ნებას რთავს DFX-დან მავნე გატანას. 7.5 მილიონი დოლარის მოპარული აქტივებიდან თავდამსხმელს შეეძლო მხოლოდ 4.3 მილიონი დოლარის ღირებულების აქტივების გადატანა საფულეში - მათ შორის 2963 ეთერი (3.8 მილიონი დოლარი) და ზოგიერთი $500,000 სტაბილკოინებში.
მოპარული აქტივების დარჩენილი ნაწილი - დაახლოებით $ 3.2 მილიონი - მოპოვებული იქნა MEV ბოტის მიერ წინა ტრანზაქციის დროს, რომელსაც ასევე უწოდებენ სენდვიჩის შეტევას. ბოტის მიერ მოპოვებული სახსრები ზის მისამართი კონტროლდება ბოტის ოპერატორის მიერ და მისი აღდგენა შესაძლებელია, თუ ოპერატორს სურს. DFX Finance აქვს უკვე კითხვაზე ოპერატორმა დააბრუნოს ისინი.
თავდასხმის ვექტორი
თავდამსხმელმა ისარგებლა დაუცველი ფლეშ-სესხების მექანიზმით, რომელსაც გთავაზობთ DFX Finance Ethereum-ის ბლოკჩეინზე. ფლეშ სესხი არის ფუნქცია, რომლის დროსაც შესაძლებელია დიდი რაოდენობით კრიპტოვალუტის სესხება უზრუნველყოფის გარეშე, მხოლოდ იმ შემთხვევაში, თუ ეს თანხები დაბრუნდება იმავე ტრანზაქციაში.
თავდასხმის დროს, თავდამსხმელმა ისესხა სტაბილკოინები DFX Finance-ში და შემდეგ დააბრუნა ისინი DFX-ის ლიკვიდურობის აუზებში „არასაიმედო გამოძახების ფუნქციით“, რომელიც გვერდის ავლით მის Flash-სესხების ჩეკებს. ფლეშ სესხის შემდეგ, თავდამსხმელს ჯერ კიდევ ჰქონდა ლიკვიდობის აუზის ტოკენები, რომლებიც მათ გაყიდეს.
თავდასხმამ გაანადგურა DFX-ის ლიკვიდურობის აუზის ტოკენები მრავალჯერადი ფლეშ სესხების მეშვეობით, რათა 7.5 მილიონ დოლარზე მეტი კონტროლი მოეხდინა. უსაფრთხოების ანალიტიკოსები BlockSec-ში აცხადებენ, რომ ლიკვიდურობის ფონდის დეპოზიტები არ უნდა დაშვებულიყო, რადგან მან მოატყუა პროტოკოლი, რათა დაეჯერებინა, რომ თანხები დაბრუნდა და იყო უსაფრთხო.
„როდესაც მომხმარებელი სესხულობს ფულს, პროტოკოლმა არ უნდა დაუშვას რაიმე ფუნქციის გამოძახება, რომელსაც შეუძლია შეცვალოს DFX პროტოკოლის ბალანსი“, განუცხადა BlockSec-ის აღმასრულებელმა დირექტორმა იაჯინ ჟოუმ.
მიუხედავად იმისა, რომ ფლეშ სესხები განკუთვნილია საარბიტრაჟო ვაჭრობისთვის და კაპიტალის ეფექტურობის გასაუმჯობესებლად, ჰაკერები რეგულარულად ბოროტად იყენებენ მათ გარკვეული დაუცველობის გამოსაყენებლად.
გასულ წელს, DFX Finance დააყენა $5 მილიონიანი სათესლე რაუნდი, რომელსაც ხელმძღვანელობენ Polychain Capital და True Ventures.
© 2022 ბლოკი კრიპტო, Inc. ყველა უფლება დაცულია. ეს სტატია მოცემულია მხოლოდ ინფორმაციული მიზნებისთვის. იგი არ არის შემოთავაზებული ან გამიზნულია, როგორც სამართლებრივი, საგადასახადო, ინვესტიციის, ფინანსური ან სხვა რჩევების გამოყენება.
წყარო: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss