DFX Finance-ը, որն ապակենտրոնացված փոխանակման արձանագրություն է fiat-ով կապված stablecoin-ների համար, հաղորդում է, որ այն հարձակման է ենթարկվել ժամը 2:21-ին ET: BlockSec-ի անվտանգության հետազոտողների գնահատականների համաձայն, անհայտ հարձակվողը DFX-ից վերցրել է մոտավորապես 7.5 միլիոն դոլար:
DFX Finance թիմը ընդունել է անվտանգության շահագործումը և ասել, որ դադարեցրել է իր բոլոր խելացի պայմանագրերը՝ խնդիրը զսպելու համար: «Մենք ծանուցվել ենք կասկածելի գործողությունների մասին առաջին գործարքից հետո 20-30 րոպեի ընթացքում և հարձակումը հաստատելուց հետո մի քանի րոպեի ընթացքում դադարեցրել ենք բոլոր DFX պայմանագրերը», ասել.
Միջադեպը, ըստ երևույթին, ֆլեշ-վարկի միացված հարձակում է, որը թույլ է տվել հաքերին չարամիտ դուրսբերում DFX-ից: 7.5 միլիոն դոլար գողացված ակտիվներից հարձակվողը կարող էր միայն 4.3 միլիոն դոլարի ակտիվներ փոխանցել իրենց դրամապանակը, այդ թվում՝ 2963 եթեր (3.8 մլն դոլար) և մի քանիսը $500,000 stablecoin-ներում:
Գողացված գույքի մնացած մասը՝ մոտ $ 3.2 միլիոն - արդյունահանվել է MEV բոտի կողմից առաջնային գործարքի ժամանակ, որը նաև կոչվում է սենդվիչ հարձակում: Բոտից արդյունահանվող միջոցները նստում են մի հասցե վերահսկվում է բոտի օպերատորի կողմից և կարող է վերականգնվել, եթե օպերատորը ցանկանա: DFX Finance ունի Արդեն խնդրել օպերատորը՝ դրանք վերադարձնելու համար։
Հարձակման վեկտորը
Հարձակվողն օգտվել է Ethereum բլոկչեյնում DFX Finance-ի կողմից առաջարկվող ֆլեշ-վարկավորման անապահով մեխանիզմից: Ֆլեշ վարկը մի հատկանիշ է, որով մեծ քանակությամբ կրիպտոարժույթ կարելի է վերցնել առանց գրավի, միայն այն դեպքում, եթե այդ միջոցները վերադարձվեն նույն գործարքով:
Հարձակման ժամանակ հարձակվողը DFX Finance-ում ստաբիլքոյններ է վերցրել, այնուհետև դրանք վերադարձրել է DFX-ի իրացվելիության լողավազաններ «անապահով հետադարձ կապի գործառույթով», որը շրջանցում է իր ֆլեշ-վարկի չեկերը: Ֆլեշ վարկից հետո հարձակվողը դեռևս ուներ իրացվելիության լողավազանի ժետոններ, որոնք նրանք վաճառեցին:
Հարձակումը սպառել է DFX-ի իրացվելիության լողավազանի նշանները մի քանի ֆլեշ վարկերի միջոցով՝ ավելի քան 7.5 միլիոն դոլարի վերահսկողության տակ առնելու համար: BlockSec-ի անվտանգության վերլուծաբաններն ասում են, որ իրացվելիության ֆոնդի ավանդները չպետք է թույլատրվեին, քանի որ դա խաբեց արձանագրությանը, որպեսզի ենթադրի, որ միջոցները վերադարձվել են և ապահով են:
«Երբ օգտատերը գումար է վերցնում, արձանագրությունը չպետք է թույլ տա որևէ գործառույթի զանգեր, որոնք կարող են փոխել DFX արձանագրության մնացորդը», - The Block-ին ասել է BlockSec-ի գործադիր տնօրեն Յաջին Չժուն:
Թեև ֆլեշ վարկերը նախատեսված են արբիտրաժային առևտրի և կապիտալի արդյունավետությունը բարելավելու համար, հաքերները պարբերաբար չարաշահել են դրանք՝ օգտագործելու որոշակի խոցելիությունը:
Անցյալ տարի DFX Finance բարձրացրել Polychain Capital-ի և True Ventures-ի գլխավորությամբ 5 միլիոն դոլար արժողությամբ սերմերի փուլ:
© 2022 The Block Crypto, Inc. Բոլոր իրավունքները պաշտպանված են: Այս հոդվածը տրամադրվում է միայն տեղեկատվական նպատակներով: Այն չի առաջարկվում կամ նախատեսված չէ օգտագործել որպես օրինական, հարկային, ներդրումային, ֆինանսական կամ այլ խորհրդատվություն:
Աղբյուր՝ https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss