DFX Finance, un protocolo de intercambio descentralizado para monedas estables con vinculación fiduciaria, informó que fue atacado a las 2:21 p. m. ET. Un atacante desconocido desvió aproximadamente 7.5 millones de dólares de DFX, según estimaciones de los investigadores de seguridad de BlockSec.
El equipo de DFX Finance reconoció la vulnerabilidad de seguridad y dijo que detuvo todos sus contratos inteligentes para contener el problema. "Se nos notificó de la actividad sospechosa dentro de los 20-30 minutos de la primera transacción y ejecutamos una pausa en todos los contratos DFX dentro de unos minutos después de confirmar el ataque". dijo.
El incidente parece ser un ataque habilitado para préstamos flash que permitió al pirata informático realizar un retiro malicioso de DFX. De los $ 7.5 millones en activos robados, el atacante solo pudo transferir $ 4.3 millones en activos a su billetera, incluidos 2963 éter ($3.8 millones) y algunos $500,000 en monedas estables.
La parte restante de los activos robados, aproximadamente 3.2 millones de dólares - fue extraído por un bot MEV en una transacción frontal, también llamada ataque sándwich. Los fondos extraídos por el bot se encuentran en un dirección controlado por el operador del bot y se puede recuperar si el operador lo desea. DFX Finanzas ha ya haya utilizado preguntaron el operador para devolverlos.
El vector de ataque
El atacante aprovechó un mecanismo inseguro de préstamo rápido ofrecido por DFX Finance en la cadena de bloques de Ethereum. Un préstamo flash es una característica en la que se puede pedir prestada una gran cantidad de criptomonedas sin garantía, solo si esos fondos se devuelven en la misma transacción.
Durante el ataque, el atacante tomó prestadas monedas estables dentro de DFX Finance y luego las volvió a depositar en los fondos de liquidez de DFX con una "función de devolución de llamada insegura" que omitió sus cheques de préstamo flash. Después del préstamo relámpago, el atacante aún tenía tokens del fondo de liquidez en posesión, que vendió.
El ataque agotó los tokens del fondo de liquidez de DFX a través de múltiples préstamos rápidos para tomar el control de más de $7.5 millones. Los analistas de seguridad de BlockSec dicen que los depósitos del fondo de liquidez no deberían haberse permitido, ya que engañó al protocolo para que creyera que los fondos habían sido devueltos y estaban seguros.
“Cuando un usuario pide dinero prestado, el protocolo no debe permitir ninguna llamada de función que pueda cambiar el equilibrio del protocolo DFX”, dijo a The Block el director ejecutivo de BlockSec, Yajin Zhou.
Si bien los préstamos flash están destinados al comercio de arbitraje y la mejora de la eficiencia del capital, los piratas informáticos abusaron regularmente de ellos para explotar ciertas vulnerabilidades.
El año pasado, DFX Finanzas elevado una ronda semilla de $5 millones liderada por Polychain Capital y True Ventures.
© 2022 The Block Crypto, Inc. Todos los derechos reservados. Este artículo se proporciona sólo para fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss