โปรโตคอล DeFi dForce ประสบกับการโจมตีช่องโหว่ Reentrancy
ในเหตุการณ์ที่น่าตกใจ dForce โปรโตคอลการเงินแบบกระจายอำนาจ (DeFi) ตกเป็นเหยื่อของการโจมตีด้วยช่องโหว่ reentrancy ซึ่งส่งผลให้สูญเสียทรัพย์สิน crypto มูลค่า 3.6 ล้านดอลลาร์
โจมตีห้องนิรภัยของ dForce ที่เป็นเป้าหมายบน Curve Finance
การโจมตีมุ่งเป้าไปที่ห้องนิรภัยของโปรโตคอลบนแพลตฟอร์มผู้สร้างตลาดอัตโนมัติ (AMM) Curve Finance ซึ่งทำงานบนบล็อกเชน Arbitrum และ Optimism การละเมิดเกิดขึ้นครั้งแรกโดยผู้ใช้ Twitter @ZoomerAnon ซึ่งประกาศว่า dForce สูญเสียเงินไปประมาณ 1.7 ล้านดอลลาร์ในการทำธุรกรรมสินเชื่อแฟลชบนเครือข่าย Optimism สิ่งนี้ได้รับการยืนยันในภายหลังโดยบริษัทรักษาความปลอดภัยบล็อกเชน PeckShield ซึ่งประเมินว่าการสูญเสียทั้งหมดอยู่ที่ 2,300 โทเค็น ETH ซึ่งมีมูลค่า 3.65 ล้านดอลลาร์
อธิบายการโจมตี Reentrancy
การโจมตีย้อนกลับเกิดขึ้นเมื่อผู้ประสงค์ร้ายใช้ประโยชน์จากจุดบกพร่องในสัญญาอัจฉริยะและถอนเงินที่โอนไปยังสัญญาที่ไม่ได้รับอนุญาตซ้ำๆ ในกรณีนี้ ผู้โจมตีจัดการราคาของ ETH ที่เดิมพันแล้วใน Curve vault และชำระสถานะสินเชื่อแฟลชหลายรายการโดยใช้ wstETHCRV-gauge เป็นหลักประกัน จำนวนเงินเริ่มต้น 0.99 ETH ถูกถอนออกจากโครงการ RAILGUN ของระบบ DeFi และโอนผ่านเครือข่าย Synapse ไปยัง Arbitrum และ Optimism ในขณะที่เขียน เงินยังคงอยู่ในบัญชีของผู้โจมตี
dForce ดำเนินการ
dForce ยืนยันว่าการโจมตีซึ่งจำกัดอยู่เฉพาะห้องนิรภัย wstETH/ETH-Curve เท่านั้น ได้ถูกควบคุมและห้องนิรภัยทั้งหมดถูกหยุดชั่วคราว โปรโตคอลทำให้ผู้ใช้มั่นใจได้ว่าเงินที่จ่ายให้กับห้องนิรภัยอื่น ๆ รวมถึงการให้ยืมนั้นปลอดภัย แพลตฟอร์มดังกล่าวยังเปิดเผยว่าผู้โจมตีได้สร้างหนี้โปรโตคอลมูลค่า 2.3 ล้านดอลลาร์หลังจากชำระบัญชี 1,031.42 wstETH/ETH บน Arbitrum และ Optimum ตามลำดับ
dForce เสนอเงินรางวัลแก่ผู้โจมตี
ในการเคลื่อนไหวที่น่าประหลาดใจ dForce ได้เสนอเงินรางวัลให้กับผู้โจมตี รายละเอียดของเงินรางวัลยังไม่ได้รับการเปิดเผยต่อสาธารณะ