أفاد DFX Finance ، وهو بروتوكول تبادل لامركزي للعملات المستقرة المربوطة بالعملات الورقية ، أنه تعرض للهجوم في الساعة 2:21 مساءً بالتوقيت الشرقي. سرق مهاجم غير معروف ما يقرب من 7.5 مليون دولار من DFX ، وفقًا لتقديرات الباحثين الأمنيين في BlockSec.
أقر فريق DFX Finance بالاستغلال الأمني وقال إنه أوقف مؤقتًا جميع عقوده الذكية لاحتواء المشكلة. "تم إخطارنا بالنشاط المشبوه في غضون 20-30 دقيقة من المعاملة الأولى وقمنا بتنفيذ وقفة مؤقتة على جميع عقود DFX في غضون بضع دقائق بعد تأكيد الهجوم ،" محمد.
يبدو أن الحادث كان هجومًا تم تمكينه بواسطة قرض سريع يسمح للمتسلل بإجراء سحب ضار من DFX. من أصل 7.5 مليون دولار من الأصول المسروقة ، يمكن للمهاجم فقط تحويل أصول بقيمة 4.3 مليون دولار إلى محفظته - بما في ذلك 2963 الأثير (3.8 مليون دولار) والبعض $500,000 في عملات مستقرة.
الجزء المتبقي من الأصول المسروقة - حوالي 3.2 مليون دولار - تم استخراجه بواسطة روبوت MEV في معاملة تشغيلية ، تسمى أيضًا هجوم شطيرة. الأموال المستخرجة من الروبوت تجلس في العنوان يتحكم فيه مشغل الروبوت ويمكن استرداده إذا كان المشغل راغبًا في ذلك. DFX Finance لديها سابقا طلب العامل لإعادتها.
ناقل الهجوم
استفاد المهاجم من آلية القرض السريع غير الآمنة التي تقدمها DFX Finance على Ethereum blockchain. القرض السريع هو ميزة يمكن من خلالها اقتراض كمية كبيرة من العملات المشفرة بدون ضمانات ، فقط إذا تم إرجاع تلك الأموال في نفس المعاملة.
أثناء الهجوم ، اقترض المهاجم عملات مستقرة داخل DFX Finance ثم أعاد إيداعها في مجمعات السيولة الخاصة بـ DFX مع "وظيفة رد الاتصال غير الآمنة" التي تجاوزت فحوصات القروض السريعة. بعد القرض السريع ، كان المهاجم لا يزال لديه رموز تجمع السيولة في حوزته ، والتي قاموا ببيعها.
استنزف الهجوم الرموز المميزة لمجمع السيولة الخاص بـ DFX من خلال قروض سريعة متعددة للسيطرة على أكثر من 7.5 مليون دولار. يقول المحللون الأمنيون في BlockSec إنه لا ينبغي السماح بإيداعات تجمع السيولة ، لأنها خدعت البروتوكول للاعتقاد بأن الأموال قد أعيدت وأنها آمنة.
قال الرئيس التنفيذي لشركة BlockSec ، Yajin Zhou ، لموقع The Block: "عندما يقترض المستخدم أموالًا ، يجب ألا يسمح البروتوكول بأي استدعاءات وظيفية يمكنها تغيير توازن بروتوكول DFX".
في حين أن القروض السريعة مخصصة لتداول المراجحة وتحسين كفاءة رأس المال ، فقد أساء المتسللون استخدامها بانتظام لاستغلال بعض نقاط الضعف.
العام الماضي ، DFX Finance رفع جولة أولية بقيمة 5 ملايين دولار بقيادة Polychain Capital و True Ventures.
© 2022 The Block Crypto، Inc. جميع الحقوق محفوظة. يتم توفير هذه المقالة لأغراض إعلامية فقط. لا يُعرض أو يُقصد استخدامه كمشورة قانونية أو ضريبية أو استثمارية أو مالية أو غيرها.
المصدر: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked؟utm_source=rss&utm_medium=rss