Das dezentralisierte Finanzprotokoll (DeFi) dForce hat einen Reentrancy-Schwachstellenangriff erlitten, der zum Verlust von Krypto-Assets im Wert von 3,6 Millionen US-Dollar führte.
Der Angreifer zielte auf den Tresor des Protokolls auf der automatisierten Market Maker (AMM)-Plattform Curve Finance ab, die auf den Blockchains von Arbitrum und Optimism operiert.
Inhaltsverzeichnis
dForce für 3,65 Millionen Dollar ausgenutzt
Der Hack wurde zuerst von Twitter-Nutzern gemeldet @ZoomerAnon der bekannt gab, dass dForce bei einer Reihe von Flash-Darlehenstransaktionen in der Optimism-Kette etwa 1,7 Millionen US-Dollar verloren hatte. Der Angriff erfolgte später bestätigt von der Blockchain-Sicherheitsfirma PeckShield, die die Gesamtverluste auf 2.300 ETH-Token (3,65 Millionen US-Dollar) rundete.
Der Hacker nutzte eine Reentrancy-Schwachstelle in einer intelligenten Vertragsfunktion aus, die dForce verwendet, um Orakelpreise für Arbitrum und Optimism zu erhalten, wenn es mit Curve verbunden ist.
Ein Reentrancy-Angriff tritt auf, wenn ein Angreifer einen Fehler in einem Smart Contract ausnutzt und wiederholt Gelder abhebt, die an einen nicht autorisierten Vertrag überwiesen wurden. Es ist öffentlich bekannt, dass solche Angriffe auf Protokolle stattfinden, die mit Curve verbunden sind, während das AMM davon unberührt bleibt.
PeckShield erklärte weiter, dass der Täter den Preis von Wrapped Stacked ETH im Curve Vault (wstETHCRV-Gauge) manipuliert hatte und in der Lage war, mehrere Flash-Darlehenspositionen unter Verwendung des wstETHCRV-Gauges als Sicherheit zu liquidieren.
Der ursprüngliche Betrag, 0,99 ETH, wurde aus dem DeFi-System RAILGUN Project abgezogen und über das Synapse Network an Arbitrum und Optimism überwiesen. Bei Redaktionsschluss lag das Geld noch auf dem Konto des Ausbeuters.
dForce bietet dem Angreifer Kopfgeld an
dForce bestätigte, dass der Angriff, der sich nur auf sein wstETH/ETH-Curve-Gewölbe bezog, eingedämmt und alle Gewölbe angehalten worden waren. Das Protokoll versicherte den Benutzern, dass Gelder, die an andere Tresore geliefert wurden, einschließlich der Kreditvergabe, sicher waren.
Die Plattform auch offengelegt dass der Ausbeuter eine Protokollschuld von 2,3 Millionen Dollar geschaffen hat, nachdem er 1.031,42 und wstETH/ETH auf Arbitrum bzw. Optimum liquidiert hatte.
„Wir haben uns mit der Sicherheitsfirma @SlowMist_team und unseren Ökosystempartnern zusammengetan, um die Angelegenheit weiter zu untersuchen, und möchten dem Ausbeuter eine Prämie anbieten, wenn die Gelder zurückgegeben werden. Bleiben Sie dran für weitere Updates“, sagte dForce.
.
