Hackeren brukte et svakt punkt i en intelligent kontraktsfunksjon som Dforce bruker for å få Oracle -priser for arbitrum og optimisme hvis den er koblet til kurve.
Et reentrancyangrep oppstår når en angriper utnytter en feil i en smart kontrakt og løfter gjentatte ganger midler som er overført til en uautorisert kontrakt. Det er offentlig kjent at slike angrep på protokoller er assosiert med kurve, mens AMM forblir upåvirket.
peckshield fortsatte at gjerningsmannen hadde manipulert prisen på innpakket stablet ETH i kurvehvelvet (WSTETHCRV-GAUGE) og var i stand til å avvikle flere flash-loan-posisjoner ved bruk av WSTETHCRV-Gauges som sikkerhet.
Den opprinnelige beløpet, 0,99 ETH, ble trukket fra Defi-System Railgun-prosjektet og overført via Synapse-nettverket til Arbitrum og optimisme. Ved redaksjonen var pengene fremdeles på grunn av utnytteren.
dforce tilbyr angriperen Bounty
dforce bekreftet at angrepet, som bare refererte til hans wsteth/eth-curve hvelv, hadde blitt inneholdt og alle hvelvene ble stoppet. Protokollen forsikret brukere om at midler som ble levert til andre safer, inkludert utlån var trygge.
plattformen også Exploitor Created a log of $ Wsteth/eth til arbitrum eller optimal
"Vi har gått sammen med sikkerhetsselskapet @slowmist_team og våre økosystempartnere for å undersøke saken ytterligere og ønsker å tilby utnytteren en premie hvis midlene blir returnert. Følg med for ytterligere oppdateringer," sa Dforce.
.
