テク

DeFi プロトコルの dForce がリエントラント攻撃を受け、3.6 万ドルが失われる

02/12/2023
ビットコインイーサリアムニュース

DeFi プロトコルの dForce は 3.6 万ドル以上の損失を被りましたが、Arbitrum チェーンと Optimism チェーンで実行されたリエントラント攻撃のおかげで、ハッカーはそれを吸い上げることができました。 

この攻撃は、ユーザーが Curve Finance に接続したときにオラクルの価格を計算できるスマート コントラクト機能の脆弱性が原因でした。 

3.6万ドル以上の損失 

ハッカーは、dForce DeFi プロトコルに対する再入攻撃により、3.6 万ドル相当の暗号通貨を吸い上げることができました。 ハッカーは、Arbitrum および Optimism ブロックチェーンで動作する自動化されたマーケット メーカー (AMM) プラットフォームである Curve Finance 上のプロトコルの金庫を標的にすることができました。 このハッキングは、Optimism Chain で実行された一連のフラッシュ ローン取引を通じて dForce が約 1.7 万ドルを失ったとツイートした Twitter ユーザー @ZoomerAnon によって明らかにされました。 ブロックチェーン セキュリティ会社の PeckShield は攻撃を確認し、損害額を約 2300 ETH、約 3.65 万ドルと見積もっています。

DeForce はまた、公式の Twitter ハンドルで攻撃を確認し、追加の被害を避けるためにすべての保管庫を一時停止したと付け加えました。 

「10 月 XNUMX 日、Arbitrum & Optimism の wstETH/ETH Curve Vault が悪用され、すぐにすべての Vault を一時停止しました。 脆弱性が特定され、エクスプロイトは dForce の wstETH/ETH-Curve Vault に固有のものでした。 dForce Lending に提供されたユーザーの資金、およびその他の保管庫は安全です。」

攻撃の詳細 

攻撃に関する入手可能な詳細によると、ハッカーは、dForce が Arbitrum と Optimism からオラクル価格を取得するために使用するスマート コントラクト関数に存在する再入可能な脆弱性を悪用することができました。 リエントラント攻撃は、ハッカーがスマート コントラクトのバグを悪用して資金を繰り返し引き出し、不正なコントラクトに移すことができる場合に発生します。 これらの攻撃は、Curve Finance にリンクされているプロトコルで発生することが知られています。 

ブロックチェーン セキュリティ会社の PeckShield は、この攻撃の場合、ハッカーが Curve の金庫 (wstETHCRV-gauge) でラップされたステーク ETH の価格を操作し、いくつかのフラッシュ ローン ポジションを清算することができたと説明しました。 これまでのところ、資金はまだハッカーの口座に残っています。 DeForceは、プロトコルへの追加の損失を防ぐためにすべての契約を一時停止し、顧客の資金は安全であることを強調しました. DeForce はまた、攻撃者が 2.3 万ドルのプロトコル債務を作成したと述べ、資金が返還された場合、攻撃者に報奨金を提供すると付け加えました。 

「私たちはセキュリティ会社 @SlowMist_team およびエコシステム パートナーと協力して問題をさらに調査し、資金が返還された場合は悪用者に報奨金を提供したいと考えています。 今後のアップデートにご期待ください。」

DeFiはソフトターゲットですか? 

dForce に対する最新の攻撃は、プロトコルに対する大規模な攻撃でプロトコルが 25 万ドルを失った XNUMX 年後に発生しました。 しかし、攻撃者は盗んだ資金のほぼすべてを返しました。 最新の攻撃で盗まれた金額は大幅に少なくなっていますが、これは長い歴史の中で最新のものです。 攻撃 仮想通貨で最も急速に成長しているエコシステムの 3.7 つである DeFi エコシステムをターゲットにしています。 TRM Labs が発行したレポートによると、2022 年に仮想通貨のハッキングにより 80 億ドル以上が失われ、その XNUMX% 以上が DeFi エクスプロイトによるものでした。 

相次ぐハッキングと報告された莫大な損失は、欧州連合を含む規制当局の注目を集めています。 規制当局は、規制機関によるDeFiの監視を改善するために、新しいポリシー変更の導入に向けて取り組むことを約束しています。 

免責事項:この記事は情報提供のみを目的として提供されています。 法律、税務、投資、財務、またはその他のアドバイスとして提供または使用することを意図したものではありません。 

ソース: https://cryptodaily.co.uk/2023/02/defi-protocol-dforce-suffers-reentrancy-attack-3-6-million-lost