DFX Finance, un protocole d'échange décentralisé pour les stablecoins fiat, a signalé qu'il avait été attaqué à 2 h 21 HE. Un attaquant inconnu a détourné environ 7.5 millions de dollars de DFX, selon les estimations des chercheurs en sécurité de BlockSec.
L'équipe de DFX Finance a reconnu l'exploit de sécurité et a déclaré avoir suspendu tous ses contrats intelligents pour contenir le problème. "Nous avons été informés de l'activité suspecte dans les 20 à 30 minutes suivant la première transaction et avons exécuté une pause sur tous les contrats DFX quelques minutes après la confirmation de l'attaque", a-t-il déclaré. a affirmé Valérie Plante..
L'incident semble être une attaque par prêt flash qui a permis au pirate de se retirer de DFX de manière malveillante. Sur les 7.5 millions de dollars d'actifs volés, l'attaquant n'a pu transférer que 4.3 millions de dollars d'actifs dans son portefeuille, y compris 2963 XNUMX éther (3.8 millions de dollars) et certains $500,000 en pièces stables.
La partie restante des actifs volés — environ 3.2 millions de dollars - a été extrait par un bot MEV lors d'une transaction frontale, également appelée attaque sandwich. Les fonds extraits par le bot se trouvent dans un propos contrôlé par l'opérateur du bot et peut être récupéré si l'opérateur le souhaite. DFX Finance a déjà demandé l'opérateur de les retourner.
Le vecteur d'attaque
L'attaquant a profité d'un mécanisme de prêt flash non sécurisé proposé par DFX Finance sur la blockchain Ethereum. Un prêt flash est une fonctionnalité dans laquelle une grande quantité de crypto-monnaie peut être empruntée sans garantie, uniquement si ces fonds sont restitués dans la même transaction.
Au cours de l'attaque, l'attaquant a emprunté des pièces stables au sein de DFX Finance, puis les a remises dans les pools de liquidités de DFX avec une "fonction de rappel non sécurisée" qui a contourné ses vérifications de prêt flash. Après le prêt flash, l'attaquant avait toujours en sa possession des jetons de pool de liquidités, qu'il a vendus.
L'attaque a vidé les jetons du pool de liquidités de DFX via plusieurs prêts flash pour prendre le contrôle de plus de 7.5 millions de dollars. Les analystes de sécurité de BlockSec affirment que les dépôts de pool de liquidités n'auraient pas dû être autorisés, car cela a trompé le protocole en lui faisant croire que les fonds ont été restitués et étaient sécurisés.
"Lorsqu'un utilisateur emprunte de l'argent, le protocole ne doit autoriser aucun appel de fonction susceptible de modifier l'équilibre du protocole DFX", a déclaré le PDG de BlockSec, Yajin Zhou, à The Block.
Alors que les prêts flash sont destinés à l'arbitrage commercial et à l'amélioration de l'efficacité du capital, les pirates en ont régulièrement abusé pour exploiter certaines vulnérabilités.
L'année dernière, DFX Finance collectés un tour de table de 5 millions de dollars mené par Polychain Capital et True Ventures.
© 2022 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss