DFX Finance, платформа для торгівлі стейблкойнами, яка підтримується Polychain Capital і True Ventures підтверджений що його зламали на 7.5 мільйонів доларів.
Торгова платформа повідомила, що експлойт почався близько 7:21 UTC у четвер і що вона отримала повідомлення про експлойти приблизно через 20–30 хвилин після початку першої транзакції.
DFX Finance заявила, що зайняла проактивну позицію, щоб зупинити роботу своїх смарт-контрактів, щоб стримати атаку. Через своє втручання зламаний протокол повідомив, що зловмисник не зміг перемістити всі вкрадені кошти, оскільки бот MEV перехопив цілих 3.2 мільйона доларів.
Однак хакер втік із деякими коштами, які були надіслані Tornado Cash, службі крипто-змішування, на яку накладено санкції Міністерства фінансів США. Зловмисник DFX Finance зміг отримати кошти через вразливість у протоколі флеш-позики.
Як розповіли дослідники BlockSec, зловмисник позичив кошти у DFX Finance на блокчейні Ethereum і негайно повернув кошти назад за допомогою «незахищеної функції зворотного виклику». Це змусило протокол подумати, що кошти були виплачені, хоча насправді вони не були.
«Коли користувач позичає гроші, протокол не повинен дозволяти будь-які виклики функцій, які можуть змінити баланс протоколу DFX», — сказав The Block генеральний директор BlockSec Яджін Чжоу.
Зловмиснику вдалося вивезти 2,963 ETH (вартістю близько 3.8 мільйона доларів) і близько 500,000 XNUMX доларів. У DFX Finance заявили, що це не вплинуло на їх пул Polygon, однак, згідно з протоколом, щойно було розпочато зняття коштів, усі повинні спробувати скористатися перевагами дозволу, щоб отримати свої кошти.
Вже вкотре з’явився протокол DeFi знову зламано, підкреслюючи заклик до обережності серед інвесторів і належних положень безпеки в усіх сферах.
Джерело зображення: Shutterstock
Джерело: https://blockchain.news/news/defi-platform-dfx-finance-says-it-has-been-hacked-for-$7.5m