Fiat-sabit stabilcoinler için merkezi olmayan bir değişim protokolü olan DFX Finance, saat 2:21 ET'de saldırıya uğradığını bildirdi. BlockSec'teki güvenlik araştırmacılarının tahminlerine göre, bilinmeyen bir saldırgan DFX'ten yaklaşık 7.5 milyon dolar çaldı.
DFX Finans ekibi güvenlik açığını kabul etti ve sorunu kontrol altına almak için tüm akıllı sözleşmelerini duraklattığını söyledi. "Şüpheli faaliyetten ilk işlemden 20-30 dakika sonra haberdar olduk ve saldırıyı onayladıktan birkaç dakika sonra tüm DFX sözleşmelerini duraklattık." şuraya.
Olay, bilgisayar korsanının DFX'ten kötü niyetli bir şekilde geri çekilmesine olanak tanıyan, flaş kredinin etkin olduğu bir saldırı gibi görünüyor. Saldırgan, çalınan 7.5 milyon dolarlık varlıktan yalnızca 4.3 milyon dolarlık varlığı cüzdanına aktarabildi. 2963 eter (3.8 milyon dolar) ve bazıları $500,000 stabilcoinlerde.
Çalınan varlıkların geri kalan kısmı - yaklaşık $ 3.2 milyon - Sandviç saldırısı olarak da adlandırılan, önden çalışan bir işlemde bir MEV botu tarafından çıkarıldı. Botla çıkarılan fonlar bir yerde duruyor adres bot operatörü tarafından kontrol edilir ve operatörün istemesi durumunda kurtarılabilir. DFX Finance'in sahip olduğu zaten sordu operatör bunları iade etmelidir.
Saldırı vektörü
Saldırgan, Ethereum blok zincirinde DFX Finance tarafından sunulan güvenli olmayan bir flaş kredi mekanizmasından yararlandı. Flaş kredi, büyük miktarda kripto paranın teminatsız olarak ödünç alınabildiği, ancak bu fonların aynı işlemde iade edildiği bir özelliktir.
Saldırı sırasında saldırgan, DFX Finance'ten sabit paralar ödünç aldı ve ardından bunları, flaş kredi kontrollerini atlayan "güvenli olmayan geri arama işlevi" ile DFX'in likidite havuzlarına geri yatırdı. Flaş krediden sonra saldırganın elinde hâlâ likidite havuzu tokenleri vardı ve bunları sattılar.
Saldırı, DFX'in likidite havuzu tokenlerini birden fazla flaş kredi yoluyla tüketerek 7.5 milyon doların üzerinde kontrolü ele geçirdi. BlockSec'teki güvenlik analistleri, protokolü kandırarak fonların iade edildiğine ve güvende olduğuna inandırdığı için likidite havuzu mevduatlarına izin verilmemesi gerektiğini söylüyor.
BlockSec CEO'su Yajin Zhou, The Block'a "Bir kullanıcı borç aldığında protokol, DFX protokolünün dengesini değiştirebilecek herhangi bir işlev çağrısına izin vermemelidir" dedi.
Flaş krediler arbitraj ticareti ve sermaye verimliliğini artırma amaçlı olsa da bilgisayar korsanları belirli güvenlik açıklarından yararlanmak için bunları düzenli olarak kötüye kullanıyor.
Geçen yıl, DFX Finans yükseltilmiş Polychain Capital ve True Ventures liderliğinde 5 milyon dolarlık bir tohum turu.
© 2022 The Block Crypto, Inc. Tüm Hakları Saklıdır. Bu makale yalnızca bilgilendirme amaçlıdır. Yasal, vergi, yatırım, finansal veya diğer tavsiyeler olarak sunulmaz veya kullanılması amaçlanmaz.
Kaynak: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss