法定通貨にペッグされたステーブルコインの分散型交換プロトコルである DFX Finance は、米国東部時間午後 2 時 21 分に攻撃を受けたと報告しました。 BlockSec のセキュリティ研究者の推定によると、未知の攻撃者が DFX から約 7.5 万ドルを吸い上げました。
DFX Finance チームは、セキュリティの悪用を認め、問題を封じ込めるためにすべてのスマート コントラクトを一時停止したと述べました。 「最初のトランザクションから 20 ~ 30 分以内に疑わしいアクティビティについて通知を受け、攻撃を確認してから数分以内にすべての DFX 契約を一時停止しました」 と.
このインシデントは、ハッカーが DFX から悪意を持って引き出しできるようにするフラッシュ ローン対応の攻撃のようです。 盗まれた 7.5 万ドルの資産のうち、攻撃者は 4.3 万ドル相当の資産しかウォレットに転送できませんでした。 2963エーテル (3.8万ドル)と一部 $500,000 ステーブルコインで。
盗まれた資産の残りの部分 — 約 3.2万ドル - サンドイッチ攻撃とも呼ばれるフロントランニング トランザクションで MEV ボットによって抽出されました。 ボットが抽出した資金は、 住所 ボットのオペレーターによって制御され、オペレーターが望む場合は回復できます。 DFX ファイナンスは 既に 尋ね オペレーターに返却してもらいます。
攻撃ベクトル
攻撃者は、イーサリアム ブロックチェーン上で DFX Finance が提供する安全でないフラッシュ ローン メカニズムを利用しました。 フラッシュ ローンとは、同じトランザクションでそれらの資金が返還された場合にのみ、無担保で多額の仮想通貨を借りることができる機能です。
攻撃中、攻撃者は DFX Finance 内でステーブルコインを借り、フラッシュ ローン チェックをバイパスする「安全でないコールバック関数」を使用して、DFX の流動性プールにそれらを預け入れました。 フラッシュ ローンの後、攻撃者はまだ流動性プール トークンを保有していましたが、それを売却しました。
この攻撃は、複数のフラッシュ ローンを介して DFX の流動性プール トークンを流出させ、7.5 万ドル以上を支配しました。 BlockSec のセキュリティ アナリストは、流動性プールへの預金は許可されるべきではなかったと述べています。資金が返還され、安全であるとプロトコルが信じ込ませてしまうからです。
「ユーザーがお金を借りるとき、プロトコルは DFX プロトコルのバランスを変える可能性のある関数呼び出しを許可すべきではありません」と BlockSec CEO の Yajin Zhou は The Block に語った。
フラッシュ ローンは裁定取引と資本効率の向上を目的としていますが、ハッカーは定期的に悪用して特定の脆弱性を悪用しています。
昨年、DFX ファイナンス 隆起した Polychain Capital と True Ventures が主導する 5 万ドルのシードラウンド。
©2022 The Block Crypto、Inc. All Rights Reserved。 この記事は情報提供のみを目的としています。 法律、税務、投資、財務、その他のアドバイスとしての使用を目的としたものではありません。
ソース: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss