DFX Finance, un protocollo di scambio decentralizzato per stablecoin con ancoraggio fiat, ha riferito di essere stato attaccato alle 2:21 ET. Un attaccante sconosciuto ha sottratto circa 7.5 milioni di dollari a DFX, secondo le stime dei ricercatori di sicurezza di BlockSec.
Il team di DFX Finance ha riconosciuto l'exploit di sicurezza e ha affermato di aver sospeso tutti i suoi contratti intelligenti per contenere il problema. "Siamo stati informati dell'attività sospetta entro 20-30 minuti dalla prima transazione e abbiamo eseguito una pausa su tutti i contratti DFX entro pochi minuti dalla conferma dell'attacco", ha affermato disse.
L'incidente sembra essere un attacco abilitato al prestito flash che ha consentito all'hacker di effettuare un ritiro dannoso da DFX. Dei 7.5 milioni di dollari di asset rubati, l'attaccante ha potuto trasferire nel proprio portafoglio solo asset per un valore di 4.3 milioni di dollari, inclusi 2963 etere ($ 3.8 milioni) e alcuni $500,000 nelle stablecoin.
La parte rimanente dei beni rubati — circa $3.2 milioni - è stato estratto da un bot MEV in una transazione anticipata, chiamata anche attacco sandwich. I fondi estratti dal bot si trovano in un indirizzo controllato dall'operatore del bot e può essere recuperato se l'operatore lo desidera. DFX Finance ha già chiesto l'operatore a restituirli.
Il vettore di attacco
L'attaccante ha sfruttato un meccanismo di prestito flash non sicuro offerto da DFX Finance sulla blockchain di Ethereum. Un prestito flash è una funzionalità in cui una grande quantità di criptovaluta può essere presa in prestito senza garanzie, solo se quei fondi vengono restituiti nella stessa transazione.
Durante l'attacco, l'attaccante ha preso in prestito stablecoin all'interno di DFX Finance e poi le ha depositate nuovamente nei pool di liquidità di DFX con una "funzione di callback non sicura" che ha aggirato i suoi controlli di prestito flash. Dopo il prestito lampo, l'attaccante aveva ancora in possesso i token del pool di liquidità, che hanno svenduto.
L'attacco ha prosciugato i token del pool di liquidità di DFX tramite più prestiti flash per prendere il controllo di oltre $ 7.5 milioni. Gli analisti di sicurezza di BlockSec affermano che i depositi di pool di liquidità non avrebbero dovuto essere consentiti, poiché ha indotto il protocollo a credere che i fondi fossero stati restituiti e fossero al sicuro.
"Quando un utente prende in prestito denaro, il protocollo non dovrebbe consentire alcuna chiamata di funzione che possa modificare l'equilibrio del protocollo DFX", ha detto a The Block il CEO di BlockSec Yajin Zhou.
Sebbene i prestiti flash siano pensati per il trading di arbitraggio e per migliorare l'efficienza del capitale, gli hacker ne hanno regolarmente abusato per sfruttare determinate vulnerabilità.
L'anno scorso, DFX Finance sollevato un seed round da 5 milioni di dollari guidato da Polychain Capital e True Ventures.
© 2022 The Block Crypto, Inc. Tutti i diritti riservati. Questo articolo è fornito a solo scopo informativo. Non viene offerto o destinato a essere utilizzato come consulenza legale, fiscale, di investimento, finanziaria o di altro tipo.
Fonte: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss