Хакер Arbitrum болон Optimism блокчейн дээр ажиллуулж байсан Curve vault руу дахин нэвтрэх халдлага мэт санагдах dForce төвлөрсөн бус санхүүжилтийн (DeFi) протоколоос 3.6 сая гаруй доллар залилсан.
DeFi төсөл нь Твиттер хуудсандаа болсон явдлыг баталж, цаашид хохирол учруулахгүйн тулд гэрээгээ түр зогсоосноо нэмж хэлэв.
Халдагчид гэрээ дотоод төлөвөө шинэчлэхээс өмнө ухаалаг гэрээний функцийг дахин дахин ажиллуулж, түүнээс хөрөнгийг задлах үед тохиолдож болох дахин нэвтрэх эмзэг байдлаас болж халдлага идэвхжсэн бололтой. Ухаалаг гэрээний кодонд алдаа гарсан эсвэл аюулгүй байдлын зохих арга хэмжээ байхгүй тохиолдолд энэ нь тохиолдож болно.
“10-р сарын XNUMX-нд манай wstETH/ETH Curve vaults on Arbitrum and Optimism дээр ашиглагдаж, бид тэр даруй бүх сангуудыг түр зогсоов. Эмзэг байдлыг тодорхойлсон бөгөөд мөлжлөг нь dForce-ийн wstETH/ETH-Curve vault-д зориулагдсан байсан" гэж багийнхан хэлэв. гэж тэмдэглэсэн.
BlockSec болон PeckShield гэсэн хоёр тэргүүлэгч крипто аюулгүй байдлын фирмүүдийн мэдээлснээр халдлагын нийт алдагдал ойролцоогоор $ 3.6 сая. Curve Finance-д холбогдсон үед Arbitrum болон Optimism сүлжээн дэх oracle үнийг тооцоолохын тулд dForce-ийн ашигладаг ухаалаг гэрээний функцэд дахин нэвтрэх алдаа байсан. "Virtual_price" гэж нэрлэгддэг тусгай функц нь тооцоолсон oracle үнийг өгдөг команд бөгөөд Curve-д холбогдсон үед ямар ч протоколоор дуудаж болно. Энэ нь хөрвөх чадварын сангийн жетоны үнийг тооцоолоход хэрэглэгддэг.
BlockSec-ийн аюулгүй байдлын албаны захирал Мэттью Жианг The Block-д хэлэхдээ "виртуал_үнэ авах" функцийг ашигладаг аливаа протокол dForce-г оруулаад үнийн тооцоололд өртөмтгий байдаг. Энэ асуудал олон нийтэд мэдэгдэж байгаа бөгөөд Curve-д өөрөө нөлөөлөхгүй гэж тэр нэмж хэлэв. Гэсэн хэдий ч төслүүд илүү болгоомжтой байж, oracle үнийг тооцоолохдоо нэмэлт арга хэмжээ авах хэрэгтэй, учир нь эдгээрийг хорлонтой этгээдүүд дахин нэвтрэх халдлага хийх боломжтой.
© 2023 The Block Crypto, Inc. Бүх эрх хуулиар хамгаалагдсан. Энэхүү нийтлэлийг зөвхөн мэдээллийн зорилгоор өгсөн болно. Үүнийг хууль, татвар, хөрөнгө оруулалт, санхүүгийн болон бусад зөвлөгөө өгөх зорилгоор ашиглахыг зөвлөдөггүй.
Эх сурвалж: https://www.theblock.co/post/210518/dforce-protocol-drained-of-3-6-million-in-reentrancy-attack?utm_source=rss&utm_medium=rss