عانى بروتوكول DeFi dForce من خسارة تزيد عن 3.6 مليون دولار ، والتي تمكن المخترق من سرقتها بفضل هجوم إعادة الدخول الذي تم تنفيذه على سلاسل Arbitrum و Optimism.
كان الهجوم بسبب ثغرة أمنية في وظيفة العقد الذكي التي سمحت للمستخدمين بحساب أسعار أوراكل عند الاتصال بـ Curve Finance.
أكثر من 3.6 مليون دولار خسر
تمكن أحد المتسللين من سرقة ما قيمته 3.6 مليون دولار من العملات المشفرة من خلال هجوم إعادة الدخول على بروتوكول dForce DeFi. تمكن المخترق من استهداف خزنة البروتوكول على Curve Finance ، وهي منصة آلية لصناعة السوق (AMM) تعمل على بلوكتشين Arbitrum و Optimism. تم الكشف عن الاختراق بواسطة مستخدم Twitter ZoomerAnon الذي قام بالتغريد بأن dForce قد خسرت حوالي 1.7 مليون دولار من خلال سلسلة من معاملات القروض السريعة التي تم تنفيذها على سلسلة التفاؤل. وأكدت شركة PeckShield الأمنية من Blockchain الهجوم وحددت الأضرار بنحو 2300 ETH ، بقيمة حوالي 3.65 مليون دولار.
أكدت DeForce أيضًا الهجوم على حسابها الرسمي على Twitter ، مضيفة أنها أوقفت جميع الخزائن مؤقتًا لتجنب أضرار إضافية.
"في 10 فبراير ، تم استغلال خزائن منحنى wstETH / ETH على Arbitrum & Optimism ، وأوقفنا جميع الخزائن على الفور. تم تحديد الثغرة الأمنية ، والاستغلال كان خاصًا بخزينة wstETH / ETH-Curve الخاصة بـ dForce. أموال المستخدمين المقدمة إلى dForce Lending وغيرها من الخزائن آمنة. "
تفاصيل الهجوم
وفقًا للتفاصيل المتاحة حول الهجوم ، تمكن المخترق من استغلال ثغرة أمنية كانت موجودة في وظيفة العقد الذكي التي تستخدمها dForce للحصول على أسعار أوراكل من Arbitrum and Optimism. تحدث هجمات Reentrancy عندما يكون المتسلل قادرًا على استغلال خطأ في عقد ذكي ، مما يسمح له بسحب الأموال بشكل متكرر ، وتحويلها إلى عقد غير مصرح به. من المعروف أن هذه الهجمات تحدث على البروتوكولات المرتبطة بـ Curve Finance.
أوضحت شركة أمان Blockchain PeckShield أنه في حالة هذا الهجوم ، كان المتسلل قادرًا على التلاعب بسعر ETH المغطى في قبو Curve (wstETHCRV-gauge) وتصفية العديد من مراكز القروض السريعة. حتى الآن ، لا تزال الأموال موجودة في حساب المتسلل. أوقفت DeForce مؤقتًا جميع العقود لمنع حدوث خسائر إضافية للبروتوكول وشددت على أن أموال العملاء تظل آمنة. ذكر DeForce أيضًا أن المهاجم قد أنشأ ديون بروتوكول بقيمة 2.3 مليون دولار وأضاف أيضًا أنه سيقدم للمهاجم مكافأة إذا تمت إعادة الأموال.
"لقد تعاونا مع شركة الأمنSlowMist_team وشركاءنا في النظام البيئي لمزيد من التحقيق في الأمر ونود تقديم مكافأة إلى المستغل إذا تمت إعادة الأموال. ترقبوا المزيد من التحديثات."
هل DeFi هدف سهل؟
وقع أحدث هجوم على dForce بعد عامين من خسارة البروتوكول 25 مليون دولار في هجوم كبير على البروتوكول. ومع ذلك ، أعاد المهاجم ما يقرب من جميع الأموال المسروقة. في حين أن الهجوم الأخير شهد سرقة مبلغ أصغر بكثير ، إلا أنه الأحدث في سلسلة طويلة من الهجمات استهداف نظام DeFi البيئي ، وهو أحد أسرع الأنظمة البيئية نموًا في التشفير. وفقًا لتقرير نشرته TRM Labs ، فقد أكثر من 3.7 مليار دولار بسبب عمليات اختراق التشفير في عام 2022 ، مع أكثر من 80 ٪ من هذا الرقم من عمليات استغلال DeFi.
من الواضح أن موجة الاختراق والخسائر الهائلة التي تم الإبلاغ عنها قد جذبت انتباه المنظمين ، بما في ذلك الاتحاد الأوروبي. تعهد المنظمون بالعمل على إدخال تغييرات سياسية جديدة للمساعدة في تحسين إشراف DeFi من قبل الهيئات التنظيمية.
إخلاء المسؤولية: يتم توفير هذه المقالة لأغراض إعلامية فقط. لم يتم تقديمه أو الغرض منه استخدامه كنصائح قانونية أو ضريبية أو استثمارية أو مالية أو غيرها.
المصدر: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost