DFX Finance، یک پروتکل صرافی غیرمتمرکز برای استیبل کوینهای ثابت فیات، گزارش داد که در ساعت ۲:۲۱ بعد از ظهر به وقت شرقی به آن حمله شد. بر اساس برآوردهای محققان امنیتی در BlockSec، یک مهاجم ناشناس تقریباً 2 میلیون دلار از DFX استخراج کرده است.
تیم DFX Finance سوء استفاده امنیتی را تایید کرد و گفت که تمام قراردادهای هوشمند خود را برای مهار این مشکل متوقف کرده است. "ما در عرض 20 تا 30 دقیقه از اولین تراکنش از فعالیت مشکوک مطلع شدیم و در عرض چند دقیقه پس از تایید حمله، تمام قراردادهای DFX را متوقف کردیم." گفت:.
به نظر میرسد این حادثه یک حمله با وام فلش باشد که به هکر اجازه خروج مخرب از DFX را میدهد. از 7.5 میلیون دلار دارایی های سرقت شده، مهاجم فقط می تواند 4.3 میلیون دلار دارایی را به کیف پول خود منتقل کند - از جمله 2963 اتر (3.8 میلیون دلار) و مقداری $500,000 در استیبل کوین ها
بخش باقی مانده از دارایی های سرقت شده - حدود 3.2 میلیون دلار - توسط یک ربات MEV در یک تراکنش پیشرو استخراج شد که حمله ساندویچی نیز نامیده می شود. وجوه استخراج شده توسط ربات در یک قرار می گیرند نشانی توسط اپراتور ربات کنترل می شود و در صورت تمایل اپراتور قابل بازیابی است. DFX Finance دارد قبلا خواسته اپراتور آنها را برگرداند.
بردار حمله
مهاجم از یک مکانیسم وام فلش ناامن ارائه شده توسط DFX Finance در بلاک چین اتریوم استفاده کرد. وام فلش یک ویژگی است که در آن می توان مقدار زیادی از ارز دیجیتال را بدون وثیقه قرض گرفت، تنها در صورتی که آن وجوه در همان تراکنش برگردانده شود.
در طول حمله، مهاجم استیبلکوینها را در DFX Finance قرض گرفت و سپس آنها را با یک «عملکرد برگشت ناامن تماس» که چکهای وام فلش آن را دور زد، به استخرهای نقدینگی DFX بازگرداند. پس از وام فلش، مهاجم همچنان توکن های استخر نقدینگی را در اختیار داشت که آنها را فروخت.
این حمله توکن های استخر نقدینگی DFX را از طریق وام های چندگانه فلش تخلیه کرد تا کنترل بیش از 7.5 میلیون دلار را در دست بگیرد. تحلیلگران امنیتی در BlockSec می گویند که سپرده های نقدینگی نباید مجاز می شد، زیرا پروتکل را فریب داد تا باور کند وجوه بازگردانده شده و ایمن هستند.
یاجین ژو، مدیر عامل BlockSec به The Block گفت: «زمانی که کاربر پول قرض میکند، پروتکل نباید اجازه تماس عملکردی را بدهد که بتواند تعادل پروتکل DFX را تغییر دهد.
در حالی که وام های فلش برای تجارت آربیتراژ و بهبود کارایی سرمایه در نظر گرفته شده اند، هکرها مرتباً از آنها برای سوء استفاده از آسیب پذیری های خاص سوء استفاده می کنند.
سال گذشته، DFX Finance مطرح شده دور اولیه 5 میلیون دلاری به رهبری Polychain Capital و True Ventures.
© 2022 کلیه حقوق این سایت متعلق به Block Crypto ، Inc. این مقاله فقط برای مقاصد اطلاعاتی ارائه شده است. این پیشنهاد یا در نظر گرفته نشده است که به عنوان مشاوره قانونی ، مالیاتی ، سرمایه گذاری ، مالی یا سایر موارد استفاده شود.
منبع: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss