Протокол децентрализованного финансирования (DeFi) DFORCE перенес уязвимость к уязвимости повторной деятельности, что привело к потере крипто -активов на сумму 3,6 млн. Долл. США.

Злоумышленник нацелился на хранилище протокола на Finance Platform Platform Platform Automated Market (AMM), которая работает на блокчанах арбитра и оптимизма.

DFORCE эксплуатируется за 3,65 млн долларов

Впервые взломать пользователь Twitter @zoomeranon, который объявил, что DFRICE потерял около 1,7 млн. Долл. США в серии транзакций Flash Cread в цепочке оптимизма. Позже атака была подтверждена безопасностью блокчейна Peckshield, которая завершила общие потери до 2300 токенов ETH (3,65 миллиона долларов).

Хакер использовал уязвимость повторной деятельности, присутствующую в функции смарт -контракта, которую Dforce использует для получения цен на Oracle по арбитрам и оптимизму при подключении к кривой.

Атака повторной деятельности происходит, когда плохой актер использует ошибку в интеллектуальном контракте и неоднократно выводит средства, переведенные в несанкционированный контракт. Такие атаки, как известно, встречаются на протоколах, связанных с кривой, в то время как AMM остается нетронутым.

Пекшилд также объяснил, что преступник манипулировал ценой обернутой статированной ETH в Curve Vault (Wstethcrv-Gauge) и смог ликвидировать несколько позиций Flash Cread, используя wstethcrv-Gaule в качестве залога.

Первоначальная сумма, 0,99, была отозвана из проекта Defi System Railgun и перенесена через сеть Synapse в Arbitrum и оптимизм. Во время печати средства все еще сидели в счете эксплу.

DFORCE предлагает награду нападающему

DFORCE подтвердил, что атака, которая была отличена только для его хранилища WSTETH/ETH-кривой, была сохранена, и все хранилища остановились. Протокол заверил пользователей, что средства, поставляемые в другие хранилища, включая кредитование, были в безопасности.

Платформа также сообщила, что эксплуататор создал задолженность по протоколу в размере 2,3 млн. Долл. США после ликвидации 1 031,42 и WSTETH/ETH на Arbitrum и Optimum, соответственно.

«Мы взаимодействовали с охранной фирмой @slowmist_team и нашими партнерами по экосистеме для дальнейшего расследования этого вопроса и хотели бы предложить щедрость эксплуататору, если средства будут возвращены. Следите за обновлениями», - сказал Дфорс.

Источник