Протокол DeFi dForce зазнає атаки через вразливість повторного входу
За шокуючим поворотом подій протокол децентралізованих фінансів (DeFi) dForce став жертвою атаки на вразливість повторного входу, яка призвела до втрати криптоактивів на суму 3,6 мільйона доларів.
Націлена атака на dForce Vault на Curve Finance
Атака була спрямована на сховище протоколу на платформі автоматизованого маркетмейкера (AMM) Curve Finance, яка працює на блокчейнах Arbitrum і Optimism. Про порушення вперше виявив користувач Twitter @ZoomerAnon, який оголосив, що dForce втратила приблизно 1,7 мільйона доларів США в серії транзакцій швидкого кредитування в мережі Optimism. Пізніше це було підтверджено компанією з безпеки блокчейну PeckShield, яка оцінила загальні збитки в 2300 токенів ETH на суму 3,65 мільйона доларів.
Пояснення атаки повторного входу
Атака повторного входу відбувається, коли зловмисник використовує помилку в смарт-контракті та неодноразово вилучає кошти, переведені на неавторизований контракт. У цьому випадку зловмисник маніпулював ціною загорнутого стейк ETH у сховищі Curve і ліквідував кілька позицій флеш-кредиту, використовуючи wstETHCRV-gauge як заставу. Початкова сума, 0,99 ETH, була виведена з системи DeFi RAILGUN Project і передана через Synapse Network до Arbitrum і Optimism. На момент написання матеріалу кошти все ще були на рахунку зловмисника.
dForce вживає заходів
Компанія dForce підтвердила, що атаку, яка була обмежена лише його сховищем wstETH/ETH-Curve, локалізовано, а всі сховища призупинено. Протокол запевнив користувачів, що кошти, які надходять до інших сховищ, включаючи позики, є безпечними. Платформа також показала, що зловмисник створив борг у розмірі 2,3 мільйона доларів США після ліквідації 1031,42 wstETH/ETH на Arbitrum і Optimum відповідно.
dForce пропонує винагороду нападнику
У несподіваний спосіб dForce запропонувала винагороду зловмисникові. Деталі винагороди не розголошуються.