DeFi-Protokoll dForce erleidet Reentrancy-Schwachstellenangriff
In einer schockierenden Wendung der Ereignisse ist das Protokoll dForce für dezentralisierte Finanzen (DeFi) Opfer eines Angriffs auf Sicherheitslücken geworden, der zum Verlust von Krypto-Assets im Wert von 3,6 Millionen US-Dollar führte.
Gezielter Angriff auf den Vault von dForce auf Curve Finance
Der Angriff richtete sich gegen den Tresor des Protokolls auf der automatisierten Market Maker (AMM)-Plattform Curve Finance, die auf den Blockchains Arbitrum und Optimism operiert. Der Verstoß wurde zuerst vom Twitter-Nutzer @ZoomerAnon ans Licht gebracht, der bekannt gab, dass dForce bei einer Reihe von Flash-Darlehenstransaktionen in der Optimism-Kette etwa 1,7 Millionen US-Dollar verloren hatte. Dies wurde später von der Blockchain-Sicherheitsfirma PeckShield bestätigt, die den Gesamtverlust auf 2.300 ETH-Token im Wert von 3,65 Millionen US-Dollar schätzte.
Reentrancy-Angriff erklärt
Ein Reentrancy-Angriff tritt auf, wenn ein böswilliger Akteur einen Fehler in einem Smart Contract ausnutzt und wiederholt Gelder abhebt, die an einen nicht autorisierten Vertrag überwiesen wurden. In diesem Fall manipulierte der Angreifer den Preis von Wrapped Stacked ETH im Curve-Tresor und liquidierte mehrere Flash-Loan-Positionen unter Verwendung des wstETHCRV-Gauges als Sicherheit. Der ursprüngliche Betrag, 0,99 ETH, wurde aus dem DeFi-System RAILGUN Project abgezogen und über das Synapse Network an Arbitrum und Optimism überwiesen. Zum Zeitpunkt des Verfassens dieses Artikels befanden sich die Gelder noch auf dem Konto des Angreifers.
dForce ergreift Maßnahmen
dForce hat bestätigt, dass der Angriff, der sich nur auf das wstETH/ETH-Curve-Gewölbe beschränkte, eingedämmt und alle Gewölbe angehalten wurden. Das Protokoll hat den Benutzern versichert, dass Gelder, die an andere Tresore geliefert werden, einschließlich der Kreditvergabe, sicher sind. Die Plattform enthüllte auch, dass der Angreifer eine Protokollschuld von 2,3 Millionen Dollar geschaffen hatte, nachdem er 1.031,42 wstETH/ETH auf Arbitrum bzw. Optimum liquidiert hatte.
dForce bietet dem Angreifer Kopfgeld an
In einem überraschenden Schachzug hat dForce dem Angreifer ein Kopfgeld ausgesetzt. Die Einzelheiten des Kopfgeldes wurden der Öffentlichkeit nicht bekannt gegeben.