DFX Finance, fiat-pegged stablecoin-ийн төвлөрсөн бус солилцооны протокол нь ET 2:21 цагт халдлагад өртсөн гэж мэдээлэв. BlockSec-ийн аюулгүй байдлын судлаачдын тооцоолсноор үл мэдэгдэх халдлага үйлдэгч DFX-ээс ойролцоогоор 7.5 сая доллар залилсан байна.
DFX Finance-ийн баг аюулгүй байдлын мөлжлөгийг хүлээн зөвшөөрч, асуудлыг шийдвэрлэхийн тулд бүх ухаалаг гэрээгээ түр зогсоосон гэж мэдэгдэв. "Эхний гүйлгээ хийснээс хойш 20-30 минутын дотор сэжигтэй үйлдлийн талаар бидэнд мэдэгдэж, халдлагыг баталгаажуулсны дараа хэдхэн минутын дотор бүх DFX гэрээнүүдийг түр зогсоов." гэж хэлсэн.
Энэ үйл явдал нь хакерт DFX-ээс хорлонтойгоор татан авалт хийх боломжийг олгодог флаш зээлийг идэвхжүүлсэн халдлага бололтой. Хулгайлагдсан 7.5 сая долларын хөрөнгөөс халдагчид зөвхөн 4.3 сая долларын хөрөнгийг түрийвч рүүгээ шилжүүлж чадсан. 2963 эфир (3.8 сая доллар) болон зарим нь $500,000 тогтвортой зоос дээр.
Хулгайлагдсан хөрөнгийн үлдсэн хэсэг нь ойролцоогоор $ 3.2 сая - нь сэндвич халдлага гэж нэрлэгддэг гүйлгээний явцад MEV ботоор олборлосон. Ботоос гаргаж авсан хөрөнгө нь хаяг роботын оператороор хянагддаг бөгөөд хэрэв оператор хүсвэл сэргээх боломжтой. DFX Finance-д байдаг аль хэдийн асуугдсан тэдгээрийг буцааж өгөх оператор.
Довтолгооны вектор
Халдагч нь Ethereum блокчейн дээр DFX Finance-аас санал болгож буй найдваргүй флаш зээлийн механизмын давуу талыг ашигласан. Флэш зээл гэдэг нь тухайн гүйлгээгээр тухайн хөрөнгийг буцаан өгсөн тохиолдолд л ямар ч барьцаагүйгээр их хэмжээний криптовалют зээлж болдог онцлог шинж юм.
Довтолгооны үеэр халдагч DFX Finance-аас тогтвортой зоос зээлж аваад дараа нь DFX-ийн хөрвөх чадварын санд "найдваргүй буцаан дуудлагын функц"-ээр хадгалуулсан бөгөөд энэ нь зээлийн шалгалтыг давж гарсан. Зээлийн дараа халдагчид хөрвөх чадварын сангийн жетонтой хэвээр байсан бөгөөд тэд үүнийг зарсан.
Энэхүү халдлага нь DFX-ийн хөрвөх чадварын сангийн жетонуудыг хэд хэдэн флаш зээлээр шавхаж, 7.5 сая долларыг хяналтандаа авчээ. BlockSec-ийн аюулгүй байдлын шинжээчдийн үзэж байгаагаар хөрвөх чадварын санд хадгаламж байршуулахыг зөвшөөрөх ёсгүй, учир нь энэ нь протоколыг хууран мэхэлж, мөнгөө буцааж өгсөн бөгөөд найдвартай гэж үздэг.
"Хэрэглэгч мөнгө зээлэх үед протокол нь DFX протоколын үлдэгдлийг өөрчлөх функцийн дуудлагыг зөвшөөрөх ёсгүй" гэж BlockSec-ийн гүйцэтгэх захирал Яжин Жоу The Block-д ярьжээ.
Флэш зээл нь арбитрын арилжаа хийх, хөрөнгийн үр ашгийг дээшлүүлэх зорилготой боловч хакерууд тодорхой сул талыг ашиглахын тулд тэдгээрийг байнга урвуулан ашигладаг.
Өнгөрсөн жил DFX Finance өссөн Polychain Capital болон True Ventures тэргүүтэй 5 сая долларын үрийн эргэлт.
© 2022 The Block Crypto, Inc. Бүх эрх хуулиар хамгаалагдсан. Энэхүү нийтлэлийг зөвхөн мэдээллийн зорилгоор өгсөн болно. Үүнийг хууль, татвар, хөрөнгө оруулалт, санхүүгийн болон бусад зөвлөгөө өгөх зорилгоор ашиглахыг зөвлөдөггүй.
Эх сурвалж: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss