โปรโตคอล DeFi dForce ประสบความสูญเสียกว่า 3.6 ล้านดอลลาร์ ซึ่งแฮ็กเกอร์สามารถกำจัดมันได้ด้วยการโจมตีแบบ reentrancy ที่ดำเนินการบน Arbitrum และ Optimism chains
การโจมตีเกิดจากช่องโหว่ในฟังก์ชันสัญญาอัจฉริยะที่อนุญาตให้ผู้ใช้คำนวณราคาของออราเคิลเมื่อเชื่อมต่อกับ Curve Finance
หายไปกว่า 3.6 ล้านเหรียญ
แฮ็กเกอร์สามารถดูดเงินดิจิทัลมูลค่า 3.6 ล้านดอลลาร์ผ่านการโจมตีซ้ำบนโปรโตคอล dForce DeFi แฮ็กเกอร์สามารถกำหนดเป้าหมายห้องนิรภัยของโปรโตคอลบน Curve Finance ซึ่งเป็นแพลตฟอร์มผู้ดูแลสภาพคล่องอัตโนมัติ (AMM) ที่ทำงานบน Arbitrum และ Optimism blockchains การแฮ็กดังกล่าวถูกเปิดเผยโดยผู้ใช้ Twitter @ZoomerAnon ซึ่งทวีตว่า dForce สูญเสียเงินไปประมาณ 1.7 ล้านดอลลาร์จากธุรกรรมสินเชื่อแฟลชที่ดำเนินการบน Optimism Chain บริษัทรักษาความปลอดภัยบล็อคเชน PeckShield ยืนยันการโจมตีและสร้างความเสียหายประมาณ 2300 ETH ซึ่งมีมูลค่าประมาณ 3.65 ล้านดอลลาร์
DeForce ยังยืนยันการโจมตีที่จัดการ Twitter อย่างเป็นทางการ โดยเสริมว่าได้หยุดห้องนิรภัยทั้งหมดชั่วคราวเพื่อหลีกเลี่ยงความเสียหายเพิ่มเติม
“เมื่อวันที่ 10 กุมภาพันธ์ ห้องนิรภัย wstETH/ETH Curve ของเราบน Arbitrum & Optimism ถูกใช้ประโยชน์ และเราได้หยุดห้องนิรภัยทั้งหมดชั่วคราวทันที มีการระบุช่องโหว่และการเจาะช่องโหว่เฉพาะกับ wstETH/ETH-Curve vault ของ dForce เงินของผู้ใช้ที่จ่ายให้กับ dForce Lending และห้องนิรภัยอื่นๆ นั้นปลอดภัย”
รายละเอียดของการโจมตี
ตามรายละเอียดที่มีอยู่เกี่ยวกับการโจมตี แฮ็กเกอร์สามารถใช้ประโยชน์จากช่องโหว่การกลับเข้ามาใหม่ที่มีอยู่ในฟังก์ชันสัญญาอัจฉริยะที่ dForce ใช้เพื่อรับราคาออราเคิลจาก Arbitrum และ Optimism การโจมตี Reentrancy เกิดขึ้นเมื่อแฮ็กเกอร์สามารถใช้ประโยชน์จากจุดบกพร่องในสัญญาอัจฉริยะ ทำให้พวกเขาสามารถถอนเงินซ้ำๆ และโอนไปยังสัญญาที่ไม่ได้รับอนุญาต เป็นที่รู้กันว่าการโจมตีเหล่านี้เกิดขึ้นกับโปรโตคอลที่เชื่อมโยงกับ Curve Finance
บริษัทรักษาความปลอดภัยบล็อคเชน PeckShield อธิบายว่าในกรณีของการโจมตีนี้ แฮ็กเกอร์สามารถจัดการราคาของ ETH ที่ห่อไว้ในห้องนิรภัยของ Curve (wstETHCRV-gauge) และชำระสถานะสินเชื่อแฟลชหลายรายการ จนถึงตอนนี้เงินยังคงนั่งอยู่ในบัญชีของแฮ็กเกอร์ DeForce ได้หยุดสัญญาทั้งหมดชั่วคราวเพื่อป้องกันความสูญเสียเพิ่มเติมในโปรโตคอล และย้ำว่าเงินของลูกค้ายังคงปลอดภัย DeForce ยังระบุด้วยว่าผู้โจมตีได้สร้างหนี้โปรโตคอลจำนวน 2.3 ล้านดอลลาร์ และยังเสริมด้วยว่าพวกเขาจะเสนอเงินรางวัลแก่ผู้โจมตีหากคืนเงิน
“เราได้ร่วมมือกับบริษัทรักษาความปลอดภัย @SlowMist_team และพันธมิตรในระบบนิเวศของเราเพื่อตรวจสอบเรื่องนี้เพิ่มเติม และต้องการเสนอเงินรางวัลแก่ผู้โจมตีหากมีการคืนเงิน คอยติดตามการปรับปรุงเพิ่มเติม”
DeFi เป็นเป้าหมายที่อ่อนนุ่มหรือไม่?
การโจมตี dForce ครั้งล่าสุดเกิดขึ้นสองปีหลังจากโปรโตคอลสูญเสียเงิน 25 ล้านดอลลาร์จากการโจมตีครั้งใหญ่บนโปรโตคอล อย่างไรก็ตาม ผู้โจมตีได้คืนเงินที่ถูกขโมยไปเกือบทั้งหมด แม้ว่าการโจมตีครั้งล่าสุดจะพบว่าขโมยไปในจำนวนที่น้อยกว่ามาก แต่ก็เป็นการโจมตีครั้งล่าสุดในแนวยาวของ การโจมตี กำหนดเป้าหมายระบบนิเวศ DeFi ซึ่งเป็นหนึ่งในระบบนิเวศที่เติบโตเร็วที่สุดในการเข้ารหัสลับ ตามรายงานที่เผยแพร่โดย TRM Labs มีมูลค่ากว่า 3.7 พันล้านเหรียญสหรัฐที่สูญเสียไปเนื่องจากการแฮ็กการเข้ารหัสลับในปี 2022 โดยกว่า 80% ของจำนวนนั้นมาจากการใช้ประโยชน์จาก DeFi
การแฮ็กจำนวนมากและรายงานความสูญเสียจำนวนมหาศาลได้ดึงดูดความสนใจของหน่วยงานกำกับดูแลอย่างชัดเจน ซึ่งรวมถึงสหภาพยุโรปด้วย หน่วยงานกำกับดูแลได้ให้คำมั่นที่จะดำเนินการเพื่อนำเสนอการเปลี่ยนแปลงนโยบายใหม่เพื่อช่วยปรับปรุงการกำกับดูแล DeFi โดยหน่วยงานกำกับดูแล
ข้อจำกัดความรับผิดชอบ: บทความนี้จัดทำขึ้นเพื่อจุดประสงค์ในการให้ข้อมูลเท่านั้น ไม่ได้นำเสนอหรือมีวัตถุประสงค์เพื่อใช้เป็นคำแนะนำทางกฎหมายภาษีการลงทุนการเงินหรืออื่น ๆ
ที่มา: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost