ハッカーは、分散型金融 (DeFi) プロトコル dForce から 3.6 万ドル以上を吸い上げました。これは、Arbitrum および Optimism ブロックチェーンで運用されている Curve Vault に対する再入可能攻撃と思われるものです。
DeFi プロジェクトは、Twitter の投稿で事件を確認し、さらなる損害を防ぐために契約を一時停止したと付け加えました。
この攻撃は、リエントラントの脆弱性によって可能になったようです。これは、コントラクトが内部状態を更新する前に、攻撃者がスマート コントラクト関数を繰り返し呼び出し、そこからアセットを抽出した場合に発生する可能性があります。 これは、スマート コントラクト コードにバグがあるか、適切なセキュリティ対策が欠如している場合に発生する可能性があります。
「10 月 XNUMX 日、Arbitrum と Optimism の wstETH/ETH Curve Vault が悪用され、すぐにすべての Vault を一時停止しました。 脆弱性が特定され、エクスプロイトは dForce の wstETH/ETH-Curve ボールトに固有のものでした」とチームは述べています。 注意.
BlockSec と PeckShield の XNUMX つの主要な暗号セキュリティ企業によると、攻撃による総損失は約 3.6万ドル. dForce が、Curve Finance に接続されたときに Arbitrum および Optimism チェーンのオラクル価格を計算するために使用するスマート コントラクト関数に、再入可能性のバグが存在していました。 「get_virtual_price」として知られる特定の関数は、推定オラクル価格を提供するコマンドであり、Curve に接続されているときに任意のプロトコルから呼び出すことができます。 流動性プールトークンの価格を計算するために使用されます。
BlockSec のセキュリティ サービス担当ディレクターである Matthew Jiang 氏は The Block に対し、「get_virtual_price」関数を使用してオラクルの価格を計算するプロトコルは、dForce を含めて脆弱であると語っています。 彼は、この問題は公に知られており、Curve 自体には影響しないと付け加えました。 それでも、オラクルの価格は悪意のあるアクターによって操作されて再入攻撃を実行できるため、オラクルの価格を見積もる際には、プロジェクトはより慎重になり、追加の手順を踏む必要があります。
©2023 The Block Crypto、Inc. All Rights Reserved。 この記事は情報提供のみを目的としています。 法律、税務、投資、財務、その他のアドバイスとしての使用を目的としたものではありません。
ソース: https://www.theblock.co/post/210518/dforce-protocol-drained-of-3-6-million-in-reentrancy-attack?utm_source=rss&utm_medium=rss