DFX Finance, protokol pertukaran terdesentralisasi untuk stablecoin yang dipatok fiat, melaporkan bahwa ia diserang pada pukul 2:21 ET. Penyerang tak dikenal menyedot sekitar $7.5 juta dari DFX, menurut perkiraan dari peneliti keamanan di BlockSec.
Tim DFX Finance mengakui eksploitasi keamanan dan mengatakan telah menghentikan semua kontrak pintarnya untuk mengatasi masalah tersebut. “Kami diberitahu tentang aktivitas mencurigakan dalam 20-30 menit dari transaksi pertama dan menghentikan semua kontrak DFX dalam beberapa menit setelah mengonfirmasi serangan itu,” katanya. tersebut.
Insiden tersebut tampaknya merupakan serangan dengan pinjaman flash yang memungkinkan peretas melakukan penarikan berbahaya dari DFX. Dari $7.5 juta aset yang dicuri, penyerang hanya dapat mentransfer aset senilai $4.3 juta ke dompet mereka — termasuk 2963 eter ($3.8 juta) dan beberapa $500,000 dalam stablecoin.
Bagian yang tersisa dari aset yang dicuri — sekitar $ 3.2 juta - diekstraksi oleh bot MEV dalam transaksi yang berjalan di depan, juga disebut serangan sandwich. Dana yang diekstraksi dengan bot berada di alamat dikendalikan oleh operator bot dan dapat dipulihkan jika operator bersedia. DFX Finance memiliki sudah bertanya operator untuk mengembalikannya.
Vektor serangan
Penyerang memanfaatkan mekanisme pinjaman kilat tidak aman yang ditawarkan oleh DFX Finance di blockchain Ethereum. Pinjaman kilat adalah fitur di mana sejumlah besar cryptocurrency dapat dipinjam tanpa jaminan, hanya jika dana tersebut dikembalikan dalam transaksi yang sama.
Selama serangan, penyerang meminjam stablecoin dalam DFX Finance dan kemudian menyimpannya kembali ke kolam likuiditas DFX dengan "fungsi panggilan balik tidak aman" yang melewati pemeriksaan pinjaman kilat. Setelah pinjaman kilat, penyerang masih memiliki token kumpulan likuiditas, yang mereka jual.
Serangan itu menguras token kumpulan likuiditas DFX melalui beberapa pinjaman kilat untuk mengendalikan lebih dari $7.5 juta. Analis keamanan di BlockSec mengatakan simpanan kumpulan likuiditas seharusnya tidak diizinkan, karena menipu protokol untuk percaya bahwa dana telah dikembalikan dan aman.
“Ketika pengguna meminjam uang, protokol seharusnya tidak mengizinkan panggilan fungsi apa pun yang dapat mengubah saldo protokol DFX,” kata CEO BlockSec Yajin Zhou kepada The Block.
Sementara pinjaman kilat dimaksudkan untuk perdagangan arbitrase dan meningkatkan efisiensi modal, peretas secara teratur menyalahgunakannya untuk mengeksploitasi kerentanan tertentu.
Tahun lalu, DFX Finance menonjol putaran benih senilai $5 juta yang dipimpin oleh Polychain Capital dan True Ventures.
© 2022 The Block Crypto, Inc. Semua Hak Dilindungi Undang-Undang. Artikel ini disediakan hanya untuk tujuan informasi. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau lainnya.
Sumber: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss