DFX Finance ซึ่งเป็นโปรโตคอลการแลกเปลี่ยนแบบกระจายศูนย์สำหรับ fiat-pegged stablecoins รายงานว่าถูกโจมตีเมื่อเวลา 2:21 น. ET ผู้โจมตีที่ไม่รู้จักได้ดูดเอา DFX ไปประมาณ 7.5 ล้านดอลลาร์ ตามการประมาณการจากนักวิจัยด้านความปลอดภัยที่ BlockSec
ทีมการเงินของ DFX รับทราบถึงช่องโหว่ด้านความปลอดภัยและกล่าวว่าได้หยุดสัญญาอัจฉริยะทั้งหมดชั่วคราวเพื่อแก้ไขปัญหา “เราได้รับแจ้งถึงกิจกรรมที่น่าสงสัยภายใน 20-30 นาทีของการทำธุรกรรมครั้งแรก และดำเนินการหยุดสัญญา DFX ทั้งหมดภายในไม่กี่นาทีหลังจากยืนยันการโจมตี” มัน กล่าวว่า.
เหตุการณ์นี้ดูเหมือนจะเป็นการโจมตีที่เปิดใช้งานแฟลชให้ยืม ซึ่งให้แฮ็กเกอร์ทำการถอนตัวที่เป็นอันตรายจาก DFX จากสินทรัพย์ที่ถูกขโมยไป 7.5 ล้านดอลลาร์ ผู้โจมตีสามารถโอนทรัพย์สินมูลค่า 4.3 ล้านดอลลาร์เข้ากระเป๋าเงินของพวกเขาเท่านั้น รวมถึง 2963 อีเธอร์ (3.8 ล้านเหรียญสหรัฐ) และบางส่วน $500,000 ในเหรียญที่มีเสถียรภาพ
ส่วนที่เหลือของทรัพย์สินที่ถูกขโมย — เกี่ยวกับ $ 3.2 ล้าน - ถูกสกัดโดยบอท MEV ในการทำธุรกรรมแบบ front-run หรือที่เรียกว่าการโจมตีแบบแซนวิช กองทุนที่สกัดจากบอทนั่งอยู่ใน ที่อยู่ ควบคุมโดยโอเปอเรเตอร์บอทและสามารถกู้คืนได้หากโอเปอเรเตอร์เต็มใจ DFX Finance มี แล้ว ถาม โอเปอเรเตอร์เพื่อส่งคืน
เวกเตอร์การโจมตี
ผู้โจมตีใช้ประโยชน์จากกลไกการยืมแฟลชที่ไม่ปลอดภัยซึ่งนำเสนอโดย DFX Finance บนบล็อกเชน Ethereum สินเชื่อแฟลชเป็นคุณสมบัติที่สามารถยืมเงินดิจิตอลจำนวนมากโดยไม่มีหลักประกัน เฉพาะในกรณีที่เงินเหล่านั้นถูกส่งคืนในธุรกรรมเดียวกัน
ในระหว่างการโจมตี ผู้โจมตียืม Stablecoins ภายใน DFX Finance แล้วฝากกลับเข้าไปในกลุ่มสภาพคล่องของ DFX ด้วย "ฟังก์ชันการโทรกลับที่ไม่ปลอดภัย" ซึ่งข้ามการตรวจสอบการยืมแฟลช หลังจากการยืมตัวแบบแฟลช ผู้โจมตียังคงมีโทเค็นกลุ่มสภาพคล่องอยู่ในครอบครอง ซึ่งพวกเขาขายออกไป
การโจมตีได้ระบายโทเค็นสภาพคล่องของ DFX ผ่านสินเชื่อแฟลชหลายรายการเพื่อควบคุมมากกว่า 7.5 ล้านดอลลาร์ นักวิเคราะห์ด้านความปลอดภัยที่ BlockSec กล่าวว่าไม่ควรอนุญาตการฝากเงินจากกลุ่มสภาพคล่อง เนื่องจากมันหลอกโปรโตคอลให้เชื่อว่าเงินได้รับการคืนแล้วและมีความปลอดภัย
“เมื่อผู้ใช้ยืมเงิน โปรโตคอลไม่ควรอนุญาตให้มีการเรียกใช้ฟังก์ชันใดๆ ที่สามารถเปลี่ยนความสมดุลของโปรโตคอล DFX” Yajin Zhou ซีอีโอของ BlockSec กล่าวกับ The Block
ในขณะที่สินเชื่อแฟลชมีไว้สำหรับการซื้อขายเก็งกำไรและปรับปรุงประสิทธิภาพของเงินทุน แฮกเกอร์มักใช้ในทางที่ผิดเพื่อใช้ประโยชน์จากช่องโหว่บางอย่าง
ปีที่แล้ว DFX Finance ยก รอบ Seed Round มูลค่า 5 ล้านเหรียญ นำโดย Polychain Capital และ True Ventures
© 2022 The Block Crypto, Inc. สงวนลิขสิทธิ์ บทความนี้จัดทำขึ้นเพื่อให้ข้อมูลเท่านั้น ไม่มีการเสนอหรือมีจุดประสงค์เพื่อใช้เป็นคำแนะนำทางกฎหมายภาษีการลงทุนการเงินหรือคำแนะนำอื่น ๆ
ที่มา: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss