Протокол децентрализованного финансирования (DeFi) DFORCE перенес уязвимость к уязвимости повторной деятельности, что привело к потере крипто -активов на сумму 3,6 млн. Долл. США.
Злоумышленник нацелился на хранилище протокола на Finance Platform Platform Platform Automated Market (AMM), которая работает на блокчанах арбитра и оптимизма.
DFORCE эксплуатируется за 3,65 млн долларов
Впервые взломать пользователь Twitter @zoomeranon, который объявил, что DFRICE потерял около 1,7 млн. Долл. США в серии транзакций Flash Cread в цепочке оптимизма. Позже атака была подтверждена безопасностью блокчейна Peckshield, которая завершила общие потери до 2300 токенов ETH (3,65 миллиона долларов).
Хакер использовал уязвимость повторной деятельности, присутствующую в функции смарт -контракта, которую Dforce использует для получения цен на Oracle по арбитрам и оптимизму при подключении к кривой.
Атака повторной деятельности происходит, когда плохой актер использует ошибку в интеллектуальном контракте и неоднократно выводит средства, переведенные в несанкционированный контракт. Такие атаки, как известно, встречаются на протоколах, связанных с кривой, в то время как AMM остается нетронутым.
Пекшилд также объяснил, что преступник манипулировал ценой обернутой статированной ETH в Curve Vault (Wstethcrv-Gauge) и смог ликвидировать несколько позиций Flash Cread, используя wstethcrv-Gaule в качестве залога.
Первоначальная сумма, 0,99, была отозвана из проекта Defi System Railgun и перенесена через сеть Synapse в Arbitrum и оптимизм. Во время печати средства все еще сидели в счете эксплу.
DFORCE предлагает награду нападающему
DFORCE подтвердил, что атака, которая была отличена только для его хранилища WSTETH/ETH-кривой, была сохранена, и все хранилища остановились. Протокол заверил пользователей, что средства, поставляемые в другие хранилища, включая кредитование, были в безопасности.
Платформа также сообщила, что эксплуататор создал задолженность по протоколу в размере 2,3 млн. Долл. США после ликвидации 1 031,42 и WSTETH/ETH на Arbitrum и Optimum, соответственно.
Источник«Мы взаимодействовали с охранной фирмой @slowmist_team и нашими партнерами по экосистеме для дальнейшего расследования этого вопроса и хотели бы предложить щедрость эксплуататору, если средства будут возвращены. Следите за обновлениями», - сказал Дфорс.
