법정화폐 고정 스테이블 코인을 위한 분산형 교환 프로토콜인 DFX Finance는 동부 표준시 기준 오후 2시 21분에 공격을 받았다고 보고했습니다. BlockSec의 보안 연구원들의 추정에 따르면 알려지지 않은 공격자가 DFX에서 약 7.5만 달러를 빼돌렸습니다.
DFX Finance 팀은 보안 악용을 인정하고 문제를 포함하기 위해 모든 스마트 계약을 일시 중지했다고 말했습니다. "첫 거래 후 20~30분 이내에 의심스러운 활동에 대해 통지를 받았고 공격 확인 후 몇 분 이내에 모든 DFX 계약을 일시 중지했습니다." 말했다.
이 사건은 해커가 DFX에서 악의적으로 철수할 수 있도록 하는 플래시 대출 가능 공격으로 보입니다. 도난당한 자산 7.5만 달러 중 공격자는 4.3만 달러 상당의 자산만 지갑으로 이체할 수 있습니다. 2963 에테르 ($3.8만) 및 일부 $500,000 스테이블 코인에서.
도난당한 자산의 나머지 부분 - 약 $ 3.2 만 - 샌드위치 공격이라고도 하는 선행 트랜잭션에서 MEV 봇에 의해 추출되었습니다. 봇에서 추출한 자금은 주소 봇 운영자가 제어하며 운영자가 원할 경우 복구할 수 있습니다. DFX 금융은 이미 질문 연산자를 반환합니다.
공격 벡터
공격자는 이더리움 블록체인에서 DFX Finance가 제공하는 안전하지 않은 플래시 대출 메커니즘을 이용했습니다. 플래시론은 담보 없이 다량의 암호화폐를 동일한 거래로 반환해야만 대출이 가능한 기능이다.
공격 중에 공격자는 DFX Finance에서 스테이블 코인을 빌린 다음 플래시 대출 확인을 우회하는 "안전하지 않은 콜백 기능"을 사용하여 DFX의 유동성 풀에 다시 입금했습니다. 플래시 대출 후에도 공격자는 여전히 유동성 풀 토큰을 보유하고 있었고 이를 매각했습니다.
이 공격은 다중 플래시 대출을 통해 DFX의 유동성 풀 토큰을 고갈시켜 7.5만 달러 이상을 통제했습니다. BlockSec의 보안 분석가는 프로토콜을 속여 자금이 반환되고 안전하다고 믿게 했기 때문에 유동성 풀 예금이 허용되어서는 안 된다고 말했습니다.
"사용자가 돈을 빌릴 때 프로토콜은 DFX 프로토콜의 균형을 변경할 수 있는 함수 호출을 허용하지 않아야 합니다."라고 BlockSec CEO Yajin Zhou가 The Block에 말했습니다.
플래시 대출은 차익 거래 및 자본 효율성 향상을 위한 것이지만 해커는 정기적으로 특정 취약점을 악용해 왔습니다.
지난해 DFX파이낸스 높인 Polychain Capital과 True Ventures가 주도하는 5만 달러의 시드 라운드.
© 2022 The Block Crypto, Inc. 모든 권리 보유. 이 기사는 정보 제공의 목적으로 만 제공됩니다. 법률, 세금, 투자, 재정 또는 기타 조언으로 사용되거나 제공되지 않습니다.
출처: https://www.theblock.co/post/185796/polychain-dfx-finance-hacked?utm_source=rss&utm_medium=rss