Протокол DeFi dForce подвергается атаке уязвимости с повторным входом
Шокирующим поворотом событий стал протокол децентрализованных финансов (DeFi) dForce, который стал жертвой повторной атаки уязвимости, которая привела к потере криптоактивов на сумму 3,6 миллиона долларов.
Атака на хранилище dForce на Curve Finance
Атака была направлена на хранилище протокола на платформе автоматизированного маркет-мейкера (AMM) Curve Finance, которая работает на блокчейнах Arbitrum и Optimism. Нарушение было впервые обнаружено пользователем Твиттера @ZoomerAnon, который объявил, что dForce потеряла около 1,7 миллиона долларов в серии транзакций мгновенных кредитов в цепочке Optimism. Позже это подтвердила компания по безопасности блокчейна PeckShield, которая оценила общие потери в 2300 токенов ETH на сумму 3,65 миллиона долларов.
Объяснение атаки повторного входа
Атака с повторным входом происходит, когда злоумышленник использует ошибку в смарт-контракте и неоднократно выводит средства, переведенные на несанкционированный контракт. В этом случае злоумышленник манипулировал ценой упакованного ETH в хранилище Curve и ликвидировал несколько позиций срочного кредита, используя wstETHCRV-gauge в качестве обеспечения. Первоначальная сумма, 0,99 ETH, была выведена из DeFi-системы RAILGUN Project и переведена через Synapse Network в Arbitrum и Optimism. На момент написания статьи средства все еще находились на счету злоумышленника.
dForce принимает меры
dForce подтвердила, что атака, которая была ограничена только ее хранилищем wstETH/ETH-Curve, была локализована, а все хранилища были приостановлены. Протокол заверил пользователей, что средства, переданные в другие хранилища, включая кредитование, безопасны. Платформа также показала, что злоумышленник создал протокольный долг в размере 2,3 миллиона долларов после ликвидации 1031,42 wstETH/ETH на Arbitrum и Optimum соответственно.
dForce предлагает награду злоумышленнику
Удивительно, но dForce предложила награду злоумышленнику. Подробности вознаграждения общественности не разглашаются.