DFX Finance, ein dezentralisiertes Austauschprotokoll für an Fiat gebundene Stablecoins, berichtete, dass es um 2:21 Uhr ET angegriffen wurde. Nach Schätzungen von Sicherheitsforschern von BlockSec hat ein unbekannter Angreifer etwa 7.5 Millionen US-Dollar von DFX abgezogen.
Das Team von DFX Finance bestätigte den Sicherheits-Exploit und sagte, es habe alle seine Smart Contracts pausiert, um das Problem einzudämmen. „Wir wurden innerhalb von 20 bis 30 Minuten nach der ersten Transaktion über die verdächtige Aktivität benachrichtigt und haben innerhalb weniger Minuten nach Bestätigung des Angriffs eine Pause bei allen DFX-Kontrakten durchgeführt“, heißt es sagte.
Der Vorfall scheint ein Flash-Loan-fähiger Angriff zu sein, der es dem Hacker ermöglichte, eine böswillige Auszahlung von DFX vorzunehmen. Von den gestohlenen Vermögenswerten in Höhe von 7.5 Millionen US-Dollar konnte der Angreifer nur Vermögenswerte im Wert von 4.3 Millionen US-Dollar in seine Brieftasche transferieren – einschließlich 2963 Äther (3.8 Millionen Dollar) und einige $500,000 bei Stablecoins.
Der verbleibende Teil des gestohlenen Vermögens – ca 3.2 Mio. US$ - wurde von einem MEV-Bot in einer Front-Running-Transaktion extrahiert, die auch als Sandwich-Angriff bezeichnet wird. Die vom Bot extrahierten Gelder befinden sich in einem Adresse wird vom Bot-Operator kontrolliert und kann wiederhergestellt werden, wenn der Operator dazu bereit ist. DFX Finance hat bereits gefragt der Betreiber, sie zurückzugeben.
Der Angriffsvektor
Der Angreifer nutzte einen unsicheren Flash-Loan-Mechanismus, der von DFX Finance auf der Ethereum-Blockchain angeboten wird. Ein Flash-Darlehen ist eine Funktion, bei der eine große Menge an Kryptowährung ohne Sicherheiten geliehen werden kann, nur wenn diese Gelder in derselben Transaktion zurückgegeben werden.
Während des Angriffs lieh sich der Angreifer Stablecoins innerhalb von DFX Finance und deponierte sie dann mit einer „unsicheren Rückruffunktion“, die seine Flash-Darlehensprüfungen umging, wieder in den Liquiditätspools von DFX. Nach dem Flash-Darlehen hatte der Angreifer noch Liquiditätspool-Token im Besitz, die er verkaufte.
Der Angriff entleerte die Liquiditätspool-Token von DFX über mehrere Flash-Darlehen, um die Kontrolle über über 7.5 Millionen US-Dollar zu erlangen. Sicherheitsanalysten von BlockSec sagen, dass Einzahlungen in Liquiditätspools nicht hätten zugelassen werden dürfen, da sie das Protokoll dazu verleiteten, zu glauben, dass die Gelder zurückgegeben wurden und sicher waren.
„Wenn ein Benutzer Geld leiht, sollte das Protokoll keine Funktionsaufrufe zulassen, die das Gleichgewicht des DFX-Protokolls verändern können“, sagte Yajin Zhou, CEO von BlockSec, gegenüber The Block.
Während Flash-Darlehen für den Arbitragehandel und die Verbesserung der Kapitaleffizienz gedacht sind, haben Hacker sie regelmäßig missbraucht, um bestimmte Schwachstellen auszunutzen.
Letztes Jahr DFX Finance geschafft eine Seed-Runde in Höhe von 5 Millionen US-Dollar, angeführt von Polychain Capital und True Ventures.
© 2022 The Block Crypto, Inc. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss